扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
学习过了名称混淆,最近又看了一些字符串加密方面的东西。在混淆保护和加密壳中都有字符串加密保护功能。
总体上字符串加密可以分为两类, 第一类是混淆保护中的字符串加密技术。主要特征是修改代码执行路径。大部分混淆保护工具的字符串加密都是这一类。
第二类就是加密壳中的字符串加密技术。这种不用修改IL代码,直接对元数据中的字符串加密。这一类以remotesoft,maxtocode为代表。
先看第一类,加密实现大致如下。
加密前:
|
加密后:
|
简单的说就是将原来使用字符串的地方,将直接使用字符串改为间接使用字符串。在这里保护软件将字符串 "Hellow World!" 进行加密 得到结果 "A34579dfbbeyu346563345/=="。 Helper.Decode 是保护软件提供的一个解密函数,它实现将 "A34579dfbbeyu346563345/==" 还原为 "Hellow World!" 。
因为是混淆保护,所以我们可以分析得到 Decode 的代码。然后直接用这个函数的代码写一个小工具将程序集中所有加密的字符串都还原。生成一个字符串对应表。以方便代码阅读和调试。
如果再深入,可以实现自动将字符串还原到原程序集中。
再来看上面例子的IL代码。
加密前:
|
加密后:
|
怎么还原,其实很简单,我们已经知道了decode的代码,而且已经能实现字符串的解密了。得到了字符串的对应表。
直接将
|
替换为
|
即可。写一个小工具使用正则表达式搜索替换就可以了。
第二类字符串加密保护:
实现就是直接对元数据中的String流进行加密。
这类保护有一个缺陷,程序运行后 元数据中的String流会解密后在内存中完整还原。在我前面的文章里面有介绍元数据的dump。这里就不重复罗嗦了。
对于第一类字符串加密保护,还有其它的形式,如 Helper.Decode这个函数可以是一个native的函数。或者是和流程混淆结合。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者