今天晚上朋友找我，说他用的OA系统(ASP.Net的)今天更新了，注册算法好像变了，好像加密壳也换了，找我帮他看看。
是DLL的程序而且是net2.0的，感觉应该很好弄。资源管理器中用大图标视图模式看了一下所有的dll文件的版本信息没有发现可疑文件。先拿ildasm看看结构，分析一下有什么保护方式。结果出来一个 红叉的对话框，说什么是受保护的模块。
用reflector不能看是预料之中的，这个工具太脆弱了。用9ray的能看到部分。
不过这些工具都太弱，还是Dis＃比较强悍，就用它了，打开一幕了然，看得清清楚楚。
有名称混淆，名字都被混淆成了类似这样 "o10l1o0l" 的名称。还没有见过什么混淆器有这样的名称混淆特征。


阅读全文……

mscorwks.dll是dotNet的核心文件，尤其是在net2.0中，以前分散的功能都集中到了这个dll中。
net1.1中，还有一个文件mscorsvr.dll 和 mscorwks.dll 是同等地位的。
它们分别对应于 windows service程序以及 desktop 程序。
在net2.0中，它们都统一到了 mscorwks。dll中。
同时在net2.0中mscorsn.dll 的功能也合并到了 mscorwks.dll中。


阅读全文……

忙了很长时间了，缓了一口气，还要接着忙一两个月。
发两张图片玩玩。。。

DNGuard v2.0 正式版



阅读全文……

全新安装：

1.后台导入插件 discuz55_plugin_bbsftp.txt
2.将 bbsftp 目录 上传到论坛的 plugins 目录中。上传bbsftp.htm到
论坛的templates\default中。


阅读全文……

学习过了名称混淆，最近又看了一些字符串加密方面的东西。
在混淆保护和加密壳中都有字符串加密保护功能。
总体上字符串加密可以分为两类，
第一类是混淆保护中的字符串加密技术。主要特征是修改代码执行路径。
大部分混淆保护工具的字符串加密都是这一类。


阅读全文……

混淆在目前的DotNet保护中占主流地位。名称混淆是最基础的混淆保护技术。
DotNet加密保护工具MaxToCode也在最近的更新中加入了混淆保护--名称混淆。

我们先谈谈名称混淆技术，
名称混淆的意义何在？


阅读全文……

这段时间在测试.Net Jit的容错性，为了方便，就直接将代码插入到Jit中进行测试了。
这个种方式就是我前面介绍DNGuard时提到的第一种增加内核强度防反射脱壳的方法。
这种技术即可用在dotnet代码的保护上，也可以用在dotnet加密壳的解密上。

目前的加密壳都是将内核插入到ee中提供解密服务。而dotNet的反射功能也是在ee层实现的，


阅读全文……

自从.Net 2.0的新特性被公开用来获取IL代码后，加密壳就成了鸡肋。
就如tankaiha所说“.net下逆向暂时没啥新东西可搞，某软件的版本升级是一次不如一次强”，由于先天不足，这成了加密壳强度的一个瓶颈。

但是还有相当一部分人认为1.1的程序集加密后是安全的。
其实不然，绝大部分1.1的程序集加密后也能用发射的方式进行脱壳。


阅读全文……

昨天晚上花时间测试了一下平台兼容性，发现无法在win98和winme中使用。

今天晚上就搞了搞Win9X平台了的。
唉，本来很简单的一件事竟然搞倒现在才搞好。
Win9X真不是吹的，有兴趣的朋友可以试试写个程序加入 int 1，然后放在Win9X运行，马上就会经典重现。


阅读全文……

针对DNGuard 版本V1.0 做了一下平台兼容性测试。
首先 DNGuard 只支持32 位系统平台。
分别在Win98 WinMe , Win2000系列，Win XP, Win2003进行了测试。

1. Win98 WinMe


阅读全文……