Windows爆破之路——.NET C#逆向

接上篇Windows系统C/C++逆向分析。

今天主要介绍一下.NET C#程序的逆向分析过程。众所周知,C#语言是对JAVA语言系统的升华。汇集JAVA面向对象的思想,同时也将微软传统MSVC/VC++的优点发挥的淋漓尽致。跟JAVA类似,C#也是一种解释型语言,编译完同样会生成字节码文件,在程序运行时,借助它自己的解释器进行实时解释运行。C#的字节码中间语言称为IL语言,其解释器一般是指CLR,类比于JAVA的JVM。当然,C#的解释器不限于CLR,现阶段开源软件Mono也实现了一个C#解释器。而且,Mono不仅能运行在Windows上,还能运行在Linux上。不过Mono本来就是为了在Linux上运行.NET C#。

C#使用csc进行编译,编译生成的可执行文件也是exe格式文件。但不同于C/C++编译出来的程序,使用dumpbin反编译C#的exe文件,并不能帮助我们分析程序。因为C#语言系统在C/C++之上又抽象了一层,.text代码段虽然还能解析出部分C语言代码段,但主体逻辑都存储在IL中。所以,我们需要工具进一步来分析exe文件中的IL代码块。然后进一步解析出C#源码。

介绍一些.NET C#的逆向工具:

ildasm:将从exe提取出IL代码

ilasm:将IL代码编译成exe可执行文件

dotpeek:Jetbrains家族的用于反编译C#程序的工具,也可反编译为IL

关于ilasm和ildasm一般在安装visual studio时,会自动安装。当然,你得是.NET C#开发。ilasm工具一般跟.net framework在同一路径下,一般是C:\Windows\Microsoft.NET\Framework对应版本下。ildasm工具一般在C:\Program Files (x86)\Microsoft SDKs\Windows对应版本下。

将exe反编译成IL字节码命令:

ildasm program.exe /output:program.il

将IL字节码再次编译成exe命令:

ilasm program.il /exe /output:program.modified.exe

当然,我们逆向有时是为了修改程序,改变它的一些行为,所以会在IL层次进行修改,改完后在恢复成exe文件。关于上述命令行工具的更多功能,请参考微软官方的文档:https://docs.microsoft.com/en-us/dotnet/framework/tools/

另外,只要涉及到IL中间语言的程序,都可以使用该工具分析。

Windows爆破之路——.NET C#逆向_第1张图片

语言之间的转化过程大致如上图。当然,有兴趣的也可以研究一下C#与IL的互相转化。今天暂且介绍这么多!

你可能感兴趣的:(逆向,其他)