今天突然对反编译、混淆感兴趣,在网上查了一些资料,文章大部分内容来源http://www.cnblogs.com/hsapphire/archive/2010/11/21/1883514.html。
1,名称混淆
1.1控制台程序
class Program { static void Main(string[] args) { string userID="asldjf3333djf"; string pwd = GetPassword(userID); ChangeInfo(userID, pwd); } public static string GetPassword(string userID) { return "123456"; } public static void ChangeInfo(string userID,string pwd) { } }
使用ILSPY进行反编译,界面如下:
1.2 使用PE文件查看工具CFF载入可执行文件。定位到#Strings流(程序集的类型、引用类型、成员等的定义都在该字符串中),使用CFF来修改#Strings流的内容。查找到字符串“ChangeInfo”和字符串“GetPassword”,随意替换,保存后双击程序,运行验证是否有问题。
结果显示能够正常运行。然后用ILSPY打开后,显示原先的“ChangeInfo”和“GetPassword”为乱码(图略,使用ILSPY时需要重新打开exe文件)
1.3作者的总结:
2 流程混淆是指打乱方法的流程,让反编译软件无法将代码正确的反编译为高级语言。流程混淆即可保护代码又可增加破解者分析代码的难度。目前流程混淆基本上都是基于跳转实现的,我们在程序中使用的跳转有如下三种方式:
.NET的流程混淆和传统windows应用程序的流程混淆本质上是有区别的。传统的流程混淆的目的是防止反汇编,而.NET流程混淆的目的是防止反编译。传统的流程混淆是基于汇编指令进行的,操作层次较低,可更改堆栈调用,可操作方式较多;.NET流程混淆是基于IL指令进行的,操作层次较高,不可触及堆栈调用,可操作方式较少。
2.1 测试流程混淆代码
class Program
{
static void Main(string[] args)
{
string h = "hello";
if (h == "hell0")
{
OutString();
}
else
{
Console.WriteLine("There is no hello!");
}
}
public static void OutString()
{
Console.WriteLine("hello");
}
}
核心IL代码
.class private auto ansi beforefieldinit FlowObufscation.Program
extends [mscorlib]System.Object
{
.method private hidebysig static void Main(string[] args) cil managed
{
.entrypoint
.maxstack 2
.locals init ([0] string h,
[1] bool CS$4$0000)
IL_0000: nop
IL_0001: ldstr "hello"
IL_0006: stloc.0
IL_0007: ldloc.0
IL_0008: ldstr "hell0"
IL_000d: call bool [mscorlib]System.String::op_Equality(string, string)
IL_0012: ldc.i4.0
IL_0013: ceq
IL_0015: stloc.1
IL_0016: ldloc.1
IL_0017: brtrue.s IL_0023
IL_0019: nop
IL_001a: call void FlowObufscation.Program::OutString()
IL_001f: nop
IL_0020: nop
IL_0021: br.s IL_0030
IL_0023: nop
IL_0024: ldstr "There is no hello!"
IL_0029: call void [mscorlib]System.Console::WriteLine(string)
IL_002e: nop
IL_002f: nop
IL_0030: ret
} // end of method Program::Main
.method public hidebysig static void OutString() cil managed
{
// 代码大小 13 (0xd)
.maxstack 8
IL_0000: nop
IL_0001: ldstr "hello"
IL_0006: call void [mscorlib]System.Console::WriteLine(string)
IL_000b: nop
IL_000c: ret
} // end of method Program::OutString
.method public hidebysig specialname rtspecialname
instance void .ctor() cil managed
{
// 代码大小 7 (0x7)
.maxstack 8
IL_0000: ldarg.0
IL_0001: call instance void [mscorlib]System.Object::.ctor()
IL_0006: ret
} // end of method Program::.ctor
} // end of class FlowObufscation.Program
作者将Main方法的IL代码分成了三段,分段并没有什么依据,完全是随意的。下面将这三段代码重新组合,按照第一段、第三段、第二段的顺序排列,然后在第一段的结尾加上跳转语句“br IL_0012”,在第二段代码的后面加上跳转语句“br IL_0029”。修改之后的代码如下
.method private hidebysig static void Main(string[] args) cil managed
{
//第一段开始
.entrypoint
// 代码大小 49 (0x31)
.maxstack 2
.locals init ([0] string h,
[1] bool CS$4$0000)
IL_0000: nop
IL_0001: ldstr "hello"
IL_0006: stloc.0
IL_0007: ldloc.0
IL_0008: ldstr "hell0"
IL_000d: call bool [mscorlib]System.String::op_Equality(string, string)
br IL_0012
//第一段结束
//第三段开始
IL_0029: call void [mscorlib]System.Console::WriteLine(string)
IL_002e: nop
IL_002f: nop
IL_0030: ret
//第三段结束
//第二段开始
IL_0012: ldc.i4.0
IL_0013: ceq
IL_0015: stloc.1
IL_0016: ldloc.1
IL_0017: brtrue.s IL_0023
IL_0019: nop
IL_001a: call void FlowObufscation.Program::OutString()
IL_001f: nop
IL_0020: nop
IL_0021: br.s IL_0030
IL_0023: nop
IL_0024: ldstr "There is no hello!"
br IL_0029
//第二段结束
} // end of method Program::Main
用ILASM重新编译修改后的IL代码(注意是ILASM,不是ILDASM)
这样就可以尝试反编译了。。原作者用Reflector测试抛出异常(可能因为版本等原因),我用的ILSPY竟然能够成功,没有异常。
原文中还有一个逻辑跳转的例子,但是测试没有成功,如果想尝试请参考文章开头的链接。
作者还有两篇文章,关于混淆和保护的一些观点,参考文章如下:
http://www.cnblogs.com/hsapphire/archive/2009/12/28/1634159.html
http://www.cnblogs.com/hsapphire/archive/2010/07/30/1788355.html
感谢原作者的分享。
附:
PE修改工具:
CFF,http://www.ntcore.com/exsuite.php
.NET 反编译:
ILSPY,http://ilspy.net/
dotPeek,http://www.jetbrains.com/decompiler/
JAVA反编译:
jd-gui,http://jd.benow.ca/