欢迎光临 - Rick 's BLOG Powered by rick

7 3 2026 - 2 4 8

[转载]Modifying IL at runtime [ 2007-07-26 | 原创作品 | blogmonstuff ]

原文出处：http://blog.monstuff.com/

If you remember the Omniscient Debugger, it was a Java debugger that instrumented the bytecode at runtime to trace calls and monitor variables. It did so by using a custom ClassLoader.
Unfortunately the .NET classes that seemed somewhat equivalent to the Java ClassLoader are sealed, so they can't be extended. So, for a while I thought runtime instrumentation of the code wasn't possible in .NET...
A couple weeks later, I stumbled onto the NProf (open-source .NET profiler) project and wondered how they did their magic. It turns out they use the CLR Profiling APIs which are COM based and allow you to hook up into various events and get information on the runtime. It is while digging some more into these that I first found a mention of the intriguing ICorProfilerInfo::SetILFunctionBody method.

阅读全文……

作者：rick | 分类：原创作品 | 评论：0 | 引用：0 | 查看：1296

DNGuard HVM beta1 [ 2007-07-23 | 原创作品 | rick@博客园 ]

DNGuard 新版内核框架基本定下来了。目前版本定为 beta1。

综合考虑，采用了兼容所有 dotNet framework 版本的内核模式，Net 1.0, 1.1, 2.0, 3.0, 3.5 以及其所有子版本（如beta x，CTP，RC，sp x等）。
采用的纯虚拟机处理层内核，在dotNet执行引擎层没有安装内核服务，在执行层兼容所有版本的dotNet框架太费精力。

阅读全文……

作者：rick | 分类：原创作品 | 评论：0 | 引用：0 | 查看：1033

.Net 中的名称混淆与名称反混淆 [ 2007-07-19 | 原创作品 | rick@博客园 ]

提到 .Net 的保护，首推就是混淆保护了，而名称混淆基本上是所有混淆保护工具都具有的功能。
可以说不支持名称混淆的工具称不上混淆保护工具。
对于混淆保护，大家有一个认识，就是混淆是一个不可逆的过程。而加密保护是一个可逆的过程。

名称混淆真的完全不可逆吗？答案是否定的。

阅读全文……

作者：rick | 分类：原创作品 | 评论：0 | 引用：0 | 查看：7417

DNGuard HVM副产品(元数据名称编辑器) [ 2007-07-18 | 原创作品 | rick@博客园 ]

程序采用的 VS2003 c++/mfc 编写。使用了frame work 2.0 的api。
这个是从DNGuard HVM的手动名称混淆功能中剥离出来的副产品。

可以用来协助手动进行名称混淆/反混淆。

阅读全文……

作者：rick | 分类：原创作品 | 评论：0 | 引用：0 | 查看：1626

.Net 2.0 通用反射脱壳机完整版 [ 2007-07-15 | 原创作品 | rick@博客园 ]

之前发了一个实验品
http://bbs.pediy.com/showthread.php?t=45184

功能还不完善，这个是完整的版本。

阅读全文……

作者：rick | 分类：原创作品 | 评论：0 | 引用：0 | 查看：5744

mscorjit的介绍，兼对某壳企业版的分析 [ 2007-07-08 | 原创作品 | rick@博客园 ]

在前面介绍mscorwks的时提到了，.net的程序是以函数为单位编译。而在 mscorjit中提供了一个函数
compileMethod 。mscorwks就是通过调用这个函数来编译.Net方法的。
对于EE层，或者虚拟机预处理层的加密壳，只需要hook这个函数就可以dump出方法体的代码了。
需要注意一点，这个函数是 thiscall 调用约定的。

阅读全文……

作者：rick | 分类：原创作品 | 评论：0 | 引用：0 | 查看：4020

.Net 反射脱壳机代码核心代码详解 [ 2007-07-04 | 原创作品 | rick@博客园 ]

本文主要对《.Net 反射脱壳机核心源代码》一文代码的原理和使用进行详细介绍。

首先介绍一下代码主要流程:
入口函数

阅读全文……

作者：rick | 分类：原创作品 | 评论：0 | 引用：0 | 查看：3534

.Net 反射脱壳机核心源代码 [ 2007-06-30 | 原创作品 | rick@博客园 ]

入口函数 void DumpAssembly(Assembly ass,string path) 枚举所有type，
调用 void DumpType(Type tp, BinaryWriter sw) 枚举所有方法，
调用 void DumpMethod(MethodBase mb, BinaryWriter sw) { MethodBody mbd = mb.GetMethodBody(); if (mbd == null) return; SetOffset(sw, mb.MetadataToken);
WriteHeader(sw, mbd); WriteILCode(sw, mbd); WriteSEH(sw, mbd); }

阅读全文……

作者：rick | 分类：原创作品 | 评论：0 | 引用：0 | 查看：3105

BBSFTP V2.8 FTP流量插件 FOR PHPWIND 5.3[20070609更新] [ 2007-06-09 | 原创作品 | rick@博客园 ]

FTP 流量插件，实现 FTP帐号和论坛帐号一一对应。可以通过论坛币购买下载流量或者下载使用时间。

插件可同时支持 Serv-U FTP Server 和 Gene6 FTP Server。

2007-6-9更想：
1. 。“FTP服务器(域)管理” 中增加部分提示信息指导用户操作。
增加“用户组权限管理”功能，方便对不同的用户组设置不同的ftp权限。

阅读全文……

作者：rick | 分类：原创作品 | 评论：0 | 引用：0 | 查看：1160

BBSFTP V2.8 FTP 流量插件 FOR DISCUZ 5.5更新 [ 2007-06-08 | 原创作品 | rick@博客园 ]

Discuz 5.5论坛插件更新：
1。增加 FTP服务中心起始页可设置。如：可以将流量购买页面设置为FTP中心的首页。
2。增加FTP服务中心的公告设置，公告可在ftp服务中心首页显示。
3。增加集成紫雨轩FTP搜索引擎，集成的FTP搜索引擎在 ftp服务中心首页显示。

注：以上三项在 “FTP中心参数设置” 中。

阅读全文……

作者：rick | 分类：原创作品 | 评论：0 | 引用：0 | 查看：1334