.Net JIT骚操逆向最新版Dngurad HVM

r11寄存器做了一些位移和相加的动作，应该是解密ILCode的地址和确保r11不能修改，可见它确实做了加固加密处理。此外，在经过试验，在Jmp指令跳转到指定的位置时，会出现与HVMRun64.dll二进制不符合的数据。这应该也是它的一个反破解机制。

前言

Dnguard HVM(以下简称DHVM)，它通过对虚拟机(CLR)和JIT加密，号称.Net最强加密软件。截至10月27日目前官网最新版4.60版，它的试用版可以下载试用，本篇看下它这个最新版的强度。

2.概述

本篇看下它的新版改动了哪些东西，加固了加密程度。

调用托管Main：

threadStart.Call(&stackVar);

之后JIT编译函数invokeCompileMethod的methodInfo参数的成员变量ILCode处的情况。

000000018047407E 41 D2 E3             shl         r11b,cl
0000000180474081 41 D3 F3             sal         r11d,cl
0000000180474084 45 0F C1 DB          xadd        r11d,r11d
0000000180474088 4C 8B 5E 10          mov         r11,qword ptr [rsi+10h]
000000018047408C 4C 89 5F 10          mov         qword ptr [rdi+10h],r11

老板的情况:

0000000180497AB2: E9 A1 73 00 00 jmp  0000000180497AB8
0000000180497AB7: F8             clc
0000000180497AB8: 4C 89 5F 10    mov  qword ptr [rdi+10h],r11

r11寄存器做了一些位移和相加的动作，应该是解密ILCode的地址和确保r11不能修改，可见它确实做了加固加密处理。此外，在经过试验，在Jmp指令跳转到指定的位置时，会出现与HVMRun64.dll二进制不符合的数据。这应该也是它的一个反破解机制。

这两个东西，加上去似乎增加了难度。这种方式加上之前的防御策略，确实能阻挡大部分人。然二进制无不可做之事。我们顺着这个地址(000000018047408C)往下看:

000000018047409D 0F 84 DD 00 00 00 je 0000000180474180

这个地方其实可以hook下，但是DHVM似乎进行了相应的反hook机制，所以无法做到，继续往下看。

00000001804741C7 E9 00 00 00 00          jmp         00000001804741CC
00000001804741CC C6 84 24 81 00 00 00 2A  mov         byte ptr [rsp+81h],2Ah
00000001804741D4 E9 00 00 00 00          jmp         00000001804741D9
00000001804741D9 E8 C2 82 BA FF          call        000000018001C4A0

这两个jmp都是跳转到jmp本身指令集的下一条指令集地址的特性。所以这里是hook的好地方:

以上代码可以改为:

00000001804741C7 4C 8B 6F 10          mov         r13,qword ptr [rdi+10h]
00000001804741CB 90                   nop
00000001804741CC C6 84 24 81 00 00 00 2A mov         byte ptr [rsp+81h],2Ah
00000001804741D4 49 C6 45 0D 08       mov         byte ptr [r13+0Dh],8
00000001804741D9 E8 C2 82 BA FF       call        000000018001C4A0

如此跳转实际上是废跳，原理是把利用这两个jmp的特性，对它进行了一个Hook。

把ILCode的地址也即是【rdi+0x10】的地址赋给r13,然后把r13偏移量为0XD的地方byte修改为8.

它的一个C#示例是:

static void ABC()
{
    Console.WriteLine("Call ABC");
}


static void DEF()
{
    Console.WriteLine("Call DEF");
}


static void Main(string[] args)
{
   Console.WriteLine("Call Main");
   ABC();
   DEF();
   Console.ReadLine();
}

Main里面调用了函数ABC和DEF

调用ABC和DEF的二进制MSIL分别为：

ABC:28 07 00 00 06 00
DEF:28 08 00 00 06 00

他们不同点事,07和08，调用ABC的二进制MSIL在整个ILCode里面的偏移是0xD。所以上面Hook代码

00000001804741D4 49 C6 45 0D 08  mov  byte ptr [r13+0Dh],8

本来它的调用打印的结果是:

图片

hook之后打印的结果是:

图片

3.结尾

DHVM新版加强了难度，但我们可以利用指令集的一些特性来对它进行学习和研究，依然非常简单。