.Net加密殼的運作庫加載方式目前主要分兩種。
用得比較多的一種是
向程式集中注入Loader代碼,然後給程式集中的每個類型添加靜态構造函數。在靜态構造函數中調用Loader代碼。
目前的加密殼大部分都是這種模式。這種模式,利用了靜态構造函數的特性。
應該注意到靜态構造函數和Loader代碼執行時 運作庫是還沒有加載的,是以這部分代碼是卻對不能加密的。
程式集執行起來後,運作庫才會被載入。
另外一種,是直接利用windows pe加載器來自動加載加密殼的運作庫。
這個熟悉win32的,應該知道修改導入表插入dll方法,這個基本上也就是這個原理。
.Net程式集至少都會有一條導入記錄
exe的是 mscoree.dll _CorExeMain
dll的是 mscoree.dll _CorDllMain
可以在運作庫中導入這樣兩個函數,然後直接修改程式集的導入記錄。
remotesoft 的 新版 protector好像就是這麼做的,它以前的版本也是用的第一種方式。
remtesoft protector 也是屬于jit層的加密殼,原理幾乎和 CliProtector 一樣,
也存在Jit層的漏洞。
這個方式的優點就是程式集加載時,運作庫就加載進去了。是以程式集的所有方法都可以加密。
當然這種方法的實作并不像說的這麼簡單,啟動時的運作庫安裝問題。
需要在架構dll加載的第一時間,安裝運作庫,
比較保險的方案是在dll的load裡面就hook loadlibrary相關函數。
這種方式有一點不好
就是無法實作32位,64位運作庫的自适應,需要部署時就明确。雖然在xp以上的系統上可以通過manifest來做,但老的系統就不行了。
再說說第一種方式,.Net 的靜态構造函數中有一個特許的,就是全局靜态構造函數(子產品靜态構造函數)。
這個正常開發使用 C#,VB.Net是做不出來的,用IL或者C++/CLI可以做出來。
這個靜态函數是在子產品第一次被通路事觸發的。
是以有了它可以不用再給所有類型添加靜态構造函數了。
相容性怎麼樣就不知道了。會不會有例外情況?
![swmm與lisflood-fp源碼如何一起編譯 CMake指令[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)