我一直很关注瑞克的博客，自从他已开始发布dotnet保护文章开始，因为我也很关注这方面的技术。毕竟是BCG的成员嘛，哈哈哈，看到瑞克终于把 DNGuard HVM 推出，于是就小试一把。看看他把自己的软件说的很棒，到底做到什么保护程度。

不过由于时间有限，我只研究了一个开头，不过我会继续向下深入的分析的。

废话少说，言归正传：

拿到 DNGuard HVM 2007 （可能是使用版，具体给问瑞克了，我是从他bbs上下载的，他说标准版和专业版不提供下载，我也没有办法了）

首先，dotnet实现即时编译是通过mscorjit.dll实现的。其提供一个导出函数getJit，就可以得到FJitCompiler对象的地址，该对象是Singleton模式。无论你调用多少回只会返回一个对象实例。该对象实现了ICorJitCompiler接口，可以进行对dotnet程序即时编译。

DNGuard HVM 的做法是将 mscorjit.dll 中导出函数 getJit 修改，直接跳转他的运行环境 HVMRuntm.dll 0x600085D0 地址，

0x600085D0    mov  eax,0x6001FEE4
                        ret

这样在执行完 getJit 就会返回 0x6001FEE4 地址，这个地址是 DNGuard HVM 实现的一个即时编译对象的地址，当然他也是继承了ICorJitCompiler接口，并实现了compileMethod 虚函数。这样我们就可以通过虚函数表找到这个函数地址。

这里是虚函数表：
0x600188B4  ==>  0x60008AD0
                                0x60008AE0
                                0x60008AF0

其中0x60008AD0 就是 compileMethod 虚函数的函数地址。具体内容如下：

0x60008AD0      mov  eax, [0x60021934]
                          mov  ecx, [eax]
                          mov  [esp+04],  eax
                          mov  eax,  [ecx]
                          jmp  eax

这里是什么意思呢？
哈哈哈，我来解释一下：

mov  eax, [0x60021934]          [0x60021934]内存的内容就是 0x790AF70

0x790AF70这个就是微软实现即时编译对象的地址。它将原来 getJit 本该返回的对象地址传给eax，然后

mov  ecx, [eax]

这条语句就可以得到原对象的虚函数表。

mov  eax,  [ecx]

接着获取原对象实现的 compileMethod 虚函数。

jmp  eax

最后执行它。虽然我们有执行回原有对象，可是你别小看它，为什么呢？
DNGuard HVM 2007 将原有对象的虚函数表替换了， compileMethod 虚函数的地址现在变成了 HVMRuntm.dll库中的0x60008B00，这就是HVMRuntm.dll实现的解密函数地址，进行IL解密。

我猜想，可能是瑞克先写的解密函数，然后再写的即时编译对象，否则干什么这么麻烦，跳来跳去的，哈哈哈，(To：瑞克，不知道我说的对不对？）

由于时间关系，我没有跟踪HVMRuntm.dll库中的0x60008B00解密函数，不过下回会继续，也希望给研究 DNGuard HVM 2007 的人有所帮助。

今天就写到这里了。