被加壳的程序在运行时先要运行一段附加的指令,这段附加的指令完成相关操作后会启动主程序。
加壳的方法大致可分为压缩和加密。
传统的非托管程序,加壳的对象是汇编指令;对.NET程序的加壳对象则是元数据和IL代码。对.NET程序的加壳,在理论和方式上并没有什么创新,目前都是直接继承与Windows程序的加壳理论和方法。大部分.NET加壳工具也是传统的加壳工具在自身功能上提供了扩展。纯.NET实现的加壳工具还是很少。加壳的方式很多,我们这里以常见的托管压缩壳为例进行讲解。
本节就.NET程序加壳的基本原理和方式做实践性的分析。
为了探究其压缩原理,我们先创建一段代码用于实验,该段代码如代码清单9-14所示。
代码清单9-14 用于加壳的程序源码
class Program { static void Main(string[] args) { DoSth(); } public static void DoSth() { } }
代码清单9-14的代码最终生成ForCompress.exe文件。使用Reflector查看其IL代码,Main方法的如代码清单9-15所示。
代码清单9-15 Main方法的IL代码 .method private hidebysig static void Main(string[] args) cil managed
{
.entrypoint
.maxstack 8
L_0000: nop
L_0001: call void ForCompress.Program::DoSth()
L_0006: nop
L_0007: ret
}
此时,ForCompress.exe在Reflector中结果如图9-19所示。
图9-19 ForCompress.exe的结构
此时ForCompress.exe
下面我们启动一款.NET压缩工具,NETZ来对ForCompress.exe进行加壳。加壳之后,我们再次启动Reflector来查看加壳的文件。如图9-20所示。
图9-20 加壳之后的ForCompress.exe文件
对比图9-19和图9-20,我们发现名称空间ForCompress变成了netz,类Progress变成了NetzStartter。程序集多多了个资源文件app.resources。下面我们展开NetzStartter类,来查看其下的方法。如图9-21所示。
图9-21 NetzStartter类的方法
从图9-21中我们可以看出,NetzStartter类定义了一系列我们“不认识”的方法,但是却没有代码清单9-14中的DoSth方法。下面我们来分析一下加壳之后的exe文件的启动过程。
首先定位到Main方法,查看其源代码,如代码清单9-16所示。
代码清单9-16 NetzStartter类的Main方法
[STAThread]
public static int Main(string[] args)
{
try
{
InitXR();
AppDomain.CurrentDomain.AssemblyResolve += new ResolveEventHandler(NetzStarter.NetzResolveEventHandler);
return StartApp(args);
}
catch (Exception exception)
{
string str = " .NET Runtime: ";
Log(string.Concat(new object[] { "#Error: ", exception.GetType().ToString(), Environment.NewLine, exception.Message, Environment.NewLine, exception.StackTrace, Environment.NewLine, exception.InnerException, Environment.NewLine, "Using", str, Environment.Version.ToString(), Environment.NewLine, "Created with", str, "2.0.50727.4927" }));
return -1;
}
}
代码清单9-16中的Main方法中,首先调用了InitXR方法,然后为AppDomain.CurrentDomain.AssemblyResolve事件添加处理方法,最后调用StartApp方法。我们首先看看InitXR方法做了些什么事情。InitXR方法源码如代码清单9-17所示。
代码清单9-17 InitXR方法源码
private static void InitXR()
{
try
{
string str = @"file:\";
string str2 = "-netz.resources";
string directoryName = Path.GetDirectoryName(Assembly.GetEntryAssembly().Location);
if (directoryName.StartsWith(str))
{
directoryName = directoryName.Substring(str.Length, directoryName.Length - str.Length);
}
string[] files = Directory.GetFiles(directoryName, "*" + str2);
if ((files != null) && (files.Length > 0))
{
xrRm = new ArrayList();
for (int i = 0; i < files.Length; i++)
{
string fileName = Path.GetFileName(files[i]);
ResourceManager manager = ResourceManager.CreateFileBasedResourceManager(fileName.Substring(0, fileName.Length - str2.Length) + "-netz", directoryName, null);
if (manager != null)
{
xrRm.Add(manager);
}
}
}
}
catch
{
}
}
代码清单9-17的代码很明了,在特定的文件路径中搜索资源文件,然后添加到全局变量xrRm中。
Main方法中的AppDomain.CurrentDomain.AssemblyResolve += new ResolveEventHandler(NetzStarter.NetzResolveEventHandler)一句代码也无需多言,只是指定程序集解析失败时的事件处理。
现在我们看StartApp方法的源码,如代码清单9-18所示。
代码清单9-18 StartApp方法源码
public static int StartApp(string[] args)
{
byte[] resource = GetResource("A6C24BF5-3690-4982-887E-11E1B159B249");
if (resource == null)
{
throw new Exception("application data cannot be found");
}
int num = InvokeApp(GetAssembly(resource), args);
resource = null;
return num;
}
StartApp方法,从名字上看,应该是调用被加密的源程序。在方法体内,首先调用了GetResource方法,返回了指定的资源,然后调用InvokeApp方法进入主程序。为了弄清楚来龙去脉,我们先看看GetResource方法到底做了什么?代码清单9-19是GetResource方法的源码。
代码清单9-19 GetResource方法源码
private static byte[] GetResource(string id)
{
byte[] buffer = null;
if (rm == null)
{
rm = new ResourceManager("app", Assembly.GetExecutingAssembly());
}
try
{
inResourceResolveFlag = true;
string name = MangleDllName(id);
if ((buffer == null) && (xrRm != null))
{
for (int i = 0; i < xrRm.Count; i++)
{
try
{
ResourceManager manager = (ResourceManager) xrRm[i];
if (manager != null)
{
buffer = (byte[]) manager.GetObject(name);
}
}
catch
{
}
if (buffer != null)
{
break;
}
}
}
if (buffer == null)
{
buffer = (byte[]) rm.GetObject(name);
}
}
finally
{
inResourceResolveFlag = false;
}
return buffer;
}
现在我们对代码清单9-19的代码做简要的分析。
if (rm == null)
{
rm = new ResourceManager("app", Assembly.GetExecutingAssembly());
}
上面这句代码从当前程序集中获取名称为app的资源文件,回到图9-20,我们可以看到app. Resources文件是内嵌在程序集中的,可以被获取。接下来的代码获取指定名称的资源,然后以byte数组的形式返回。返回的资源的用途是什么呢?我们继续分析。
InvokeApp(GetAssembly(resource), args);
上面是StartApp方法最后的调用,GetAssembly方法,从名字上看是获取程序集,其参数是GetResource方法返回的byte数组。我们到它的源码中一探究竟。GetAssembly方法的源码如代码清单9-20所示。
代码清单9-20 GetAssembly方法源码
private static Assembly GetAssembly(byte[] data)
{
MemoryStream stream = null;
Assembly assembly = null;
try
{
stream = UnZip(data);
stream.Seek(0L, SeekOrigin.Begin);
assembly = Assembly.Load(stream.ToArray());
}
finally
{
if (stream != null)
{
stream.Close();
}
stream = null;
}
return assembly;
}
代码清单9-20的代码也很简单,从byte数组转化到程序集。这里我们唯一需要注意的地方是下面这句代码:
stream = UnZip(data);
UnZip方法对byte数组进行解压缩。这个方法是整个程序运行的最关键的方法,但是解压缩的具体实现我们不去关注。如果您感兴趣的话可以自行研究。
得到程序集之后,才真正的开始执行InvokeApp方法,我们看代码清单9-21。
代码清单9-21 InvokeApp源码
private static int InvokeApp(Assembly assembly, string[] args)
{
MethodInfo entryPoint = assembly.EntryPoint;
ParameterInfo[] parameters = entryPoint.GetParameters();
object[] objArray = null;
if ((parameters != null) && (parameters.Length > 0))
{
objArray = new object[] { args };
}
object obj2 = entryPoint.Invoke(null, objArray);
if ((obj2 != null) && (obj2 is int))
{
return (int) obj2;
}
return 0;
}
从代码清单9-21中我们看到,这段代码首先获取程序集的入口函数,也就是Main方法,然后执行。到这里,程序才真正的从外壳程序转到真正的主程序。
结合上面的分析,我们总结一下一个纯.NET压缩壳程序的运行流程:
1) 程序运行时首先运行外壳程序。
2) 外壳程序从其资源中读取主程序的原始数据。
3) 对原始数据解压缩,转化成程序集。
4) 运行主程序。
这种加壳方法的两个关键点,一个是主程序作为壳程序的资源文件存在,第二个是先对资源文件解密然后再反射执行。
最新评论