强暴.Net程序集之七 (强命名的移除)

shuai 的个人资料娱乐精神照片日志

工具

帮助

2007/11/1

强暴.Net程序集之七 (强命名的移除)

警告：本系列文章为本人原创，只作技术研究之用，您可以引用链接传播，禁止其它的转载方式，禁止用于商业或非法目的，对于造成的一切后果本人概不负责

先让我们重新看一下IMAGE_COR20_HEADER头的格式：
typedef struct IMAGE_COR20_HEADER
{
    // Header versioning
    DWORD                   cb;
    WORD                    MajorRuntimeVersion;
    WORD                    MinorRuntimeVersion;

    // Symbol table and startup information
    IMAGE_DATA_DIRECTORY    MetaData;
    DWORD                   Flags;
    DWORD                   EntryPointToken;

    // Binding information
    IMAGE_DATA_DIRECTORY    Resources;
    IMAGE_DATA_DIRECTORY    StrongNameSignature;

    // Regular fixup and binding information
    IMAGE_DATA_DIRECTORY    CodeManagerTable;
    IMAGE_DATA_DIRECTORY    VTableFixups;
    IMAGE_DATA_DIRECTORY    ExportAddressTableJumps;

    // Precompiled image info (internal use only - set to zero)
    IMAGE_DATA_DIRECTORY    ManagedNativeHeader;

} IMAGE_COR20_HEADER, *PIMAGE_COR20_HEADER;

移除强名需要修改其中的这两个字段
Flags
StrongNameSignature

其中Flags是一个按位或值，我们只需要移去COMIMAGE_FLAGS_STRONGNAMESIGNED
在winnt.h中有其定义：
typedef enum ReplacesCorHdrNumericDefines
{
// COM+ Header entry point flags.
    COMIMAGE_FLAGS_ILONLY               =0x00000001,
    COMIMAGE_FLAGS_32BITREQUIRED        =0x00000002,
    COMIMAGE_FLAGS_IL_LIBRARY           =0x00000004,
    COMIMAGE_FLAGS_STRONGNAMESIGNED     =0x00000008,
    COMIMAGE_FLAGS_TRACKDEBUGDATA       =0x00010000,
    //略
}

然后将StrongNameSignature和VirtualAddress和Size都置为0

第二步是修改Assembly表
将Flags字段的PublicKey位移去
在Partition II Metadata中有描述：
PublicKey   0x0001
SideBySideCompatible  0x0000
<reserved>   0x0030
Retargetable   0x0100
EnableJITcompileTracking 0x8000
DisableJITcompileOptimizer 0x4000

另外修改PublicKey字段，将其置为0

代码为：
pCorHeader->Flags &= ~COMIMAGE_FLAGS_STRONGNAMESIGNED;
pCorHeader->StrongNameSignature.VirtualAddress = 0;
pCorHeader->StrongNameSignature.Size = 0;

PMETA_ASSEMBLY_TABLE assemblyTable = (PMETA_ASSEMBLY_TABLE)(tables[TableType::Assembly].Address);
assemblyTable->Flags &= 0x1110; //PublicKey = 0x0001
assemblyTable->PublicKey = 0;

这样我们就将到了一个没有强名的程序集

在.net的非托管 API中提供了一系列和强名相关的函数：

StrongNameCompareAssemblies   仅通过二进制签名确定两个指定的程序集是否不同。
StrongNameErrorInfo    获取由强名称方法引发的上一个错误代码。
StrongNameFreeBuffer    释放上一次调用强名称方法时分配的内存。
StrongNameGetBlob    通过位于指定内存地址的可执行文件的二进制表示形式填充指定的缓冲区。
StrongNameGetBlobFromImage   获取位于指定内存地址的程序集映像的二进制表示形式。
StrongNameGetPublicKey    从私钥/公钥对中检索公钥。
StrongNameHashSize    使用指定的哈希算法获取哈希值所需要的缓冲区大小。
StrongNameKeyDelete    删除具有指定容器名称的公钥-私钥对。
StrongNameKeyGen    创建一个用于强名称的公/私钥对。
StrongNameKeyGenEx    创建具有指定密钥大小的公钥/私钥对，以供强名称使用。
StrongNameKeyInstall    向容器中导入公钥-私钥对。
StrongNameSignatureGeneration   生成指定程序集的强名称签名。
StrongNameSignatureGenerationEx   使用指定的密钥容器名称获取指定程序集的强名称签名。
StrongNameSignatureSize    返回强名称签名的大小。
StrongNameSignatureVerification   获取一个指示所提供的可移植的可执行（.dll 或 .exe）文件的程序集清单是否包含强名称签名的值。
StrongNameSignatureVerificationEx  获取一个指示所提供的可移植的可执行（.dll 或 .exe）文件的程序集清单是否包含强名称签名的值。
StrongNameSignatureVerificationFromImage 验证已映射到内存的程序集对关联的公钥是否有效。
StrongNameTokenFromAssembly   从指定的程序集文件中创建强名称标记。
StrongNameTokenFromAssemblyEx   从指定的程序集文件创建强名称标记，并返回公钥。
StrongNameTokenFromPublicKey   返回表示公钥的标记。

16:08 | 写入日志

若要添加评论，请使用您的 Windows Live ID 登录（如果您使用过 Hotmail、Messenger 或 Xbox LIVE，您就拥有 Windows Live ID）。登录

还没有 Windows Live ID 吗？请注册

	没有名字发表: http://www.bestlaptopbattery.com.au/dell/gw240.htm Dell gw240 battery http://www.bestlaptopbattery.com.au/dell/h5559.htm Dell h5559 battery http://www.bestlaptopbattery.com.au/dell/hj424.htm Dell hj424 battery http://www.bestlaptopbattery.com.au/dell/hp297.htm Dell hp297 battery http://www.bestlaptopbattery.com.au/dell/inspiron-1000.htm Dell inspiron 1000 battery http://www.bestlaptopbattery.com.au/dell/inspiron-1100-series.htm Dell inspiron 1100 series battery http://www.bestlaptopbattery.com.au/dell/inspiron-1150.htm Dell inspiron 1150 battery http://www.bestlaptopbattery.com.au/dell/inspiron-1200.htm Dell inspiron 1200 battery http://www.bestlaptopbattery.com.au/dell/inspiron-1300.htm Dell inspiron 1300 battery http://www.bestlaptopbattery.com.au/dell/inspiron-1420.htm Dell inspiron 1420 battery http://www.bestlaptopbattery.com.au/dell/inspiron-1520.htm Dell inspiron 1520 battery http://www.bestlaptopbattery.com.au/dell/inspiron-1525.htm Dell inspiron 1525 battery http://www.bestlaptopbattery.com.au/dell/inspiron-1526.htm Dell inspiron 1526 battery http://www.bestlaptopbattery.com.au/dell/inspiron-1720.htm Dell inspiron 1720 battery http://www.bestlaptopbattery.com.au/dell/inspiron-2000.htm Dell inspiron 2000 battery http://www.bestlaptopbattery.com.au/dell/inspiron-2100.htm Dell inspiron 2100 battery http://www.bestlaptopbattery.com.au/dell/inspiron-2200.htm Dell inspiron 2200 battery http://www.bestlaptopbattery.com.au/dell/inspiron-2500.htm Dell inspiron 2500 battery http://www.bestlaptopbattery.com.au/dell/inspiron-2800.htm Dell inspiron 2800 battery http://www.bestlaptopbattery.com.au/dell/inspiron-3700.htm Dell inspiron 3700 battery http://www.bestlaptopbattery.com.au/dell/inspiron-3800.htm Dell inspiron 3800 battery http://www.bestlaptopbattery.com.au/dell/inspiron-4000.htm Dell inspiron 4000 battery http://www.bestlaptopbattery.com.au/dell/inspiron-500m.htm Dell inspiron 500m battery http://www.bestlaptopbattery.com.au/dell/inspiron-5100.htm Dell inspiron 5100 battery http://www.bestlaptopbattery.com.au/dell/inspiron-510m.htm Dell inspiron 510m battery http://www.bestlaptopbattery.com.au/dell/inspiron-5150.htm Dell inspiron 5150 battery http://www.bestlaptopbattery.com.au/dell/inspiron-5160.htm Dell inspiron 5160 battery http://www.bestlaptopbattery.com.au/dell/inspiron-6000.htm Dell inspiron 6000 battery http://www.bestlaptopbattery.com.au/dell/inspiron-600m.htm Dell inspiron 600m battery http://www.bestlaptopbattery.com.au/dell/inspiron-630m.htm Dell inspiron 630m battery http://www.bestlaptopbattery.com.au/dell/inspiron-6400.htm Dell inspiron 6400 battery http://www.bestlaptopbattery.com.au/dell/inspiron-640m.htm Dell inspiron 640m battery http://www.bestlaptopbattery.com.au/dell/inspiron-7000.htm Dell inspiron 7000 battery http://www.bestlaptopbattery.com.au/dell/inspiron-700m.htm Dell inspiron 700m battery http://www.bestlaptopbattery.com.au/dell/inspiron-710m.htm Dell inspiron 710m battery http://www.bestlaptopbattery.com.au/dell/inspiron-7500.htm Dell inspiron 7500 battery http://www.bestlaptopbattery.com.au/dell/inspiron-8000.htm Dell inspiron 8000 battery http://www.bestlaptopbattery.com.au/dell/inspiron-8100.htm Dell inspiron 8100 battery http://www.bestlaptopbattery.com.au/dell/inspiron-8200.htm Dell inspiron 8200 battery http://www.bestlaptopbattery.com.au/dell/inspiron-8500m.htm Dell inspiron 8500m battery http://www.bestlaptopbattery.com.au/dell/inspiron-8600.htm Dell inspiron 8600 battery http://www.bestlaptopbattery.com.au/dell/inspiron-8600m.htm Dell inspiron 8600m battery http://www.bestlaptopbattery.com.au/dell/inspiron-910.htm Dell inspiron 910 battery http://www.bestlaptopbattery.com.au/dell/inspiron-9100.htm Dell inspiron 9100 battery 11 月 9 日
	没有名字发表: 上海拉拉钢<a href="http://www.lalamo.net/Corporation_instruct.asp">膜结构公司</a>是一家专门主要从事建筑<a href="http://www.lalamo.net/">膜结构</a>上海上海宇栾钢<a href="http://www.yuluan.sh.cn/Corporation_instruct.asp">膜结构公司</a>。上海海洋泵阀制造有限公司是专业生产<a href="http://www.sea-pump.com/dj.html">多级泵</a>,<a href="http://www.sea-pump.com/gm.html">隔膜泵</a>,<a href="http://www.sea-pump.com/hg.html">化工泵</a>,<a href="http://www.sea-pump.com/pw.html">排污泵</a>,<a href="http://www.sea-pump.com/xf.html">消防泵</a>的大型股份企业,本公司生产的消防泵,排污泵,化工泵,隔膜泵,多级泵已广泛应用于城市给排水、城市污水处理以及国家大型环保处理工程;高层建筑增压送水,园林喷灌、消防增压、远距送水、农田排灌、纺织、造纸工业排水增压以及其他工业增压配套等。产品质量稳定可靠,远销西欧,东南亚，深受广大用户信赖和好评。上海上一泵业制造有限公司是中国最大的<a href="http://www.shangyi-pump.com/xf.html">消防泵</a>,<a href="http://www.shangyi-pump.com/pw.html">排污泵</a>,<a href="http://www.shangyi-pump.com/hg.html">化工泵</a>,<a href="http://www.shangyi-pump.com/gm.html">隔膜泵</a>,<a href="http://www.shangyi-pump.com/dj.html">多级泵</a>制造商之一,在离心历史背景制造领域，是专业生产消防泵,排污泵,化工泵,隔膜泵,多级泵、生活消防成套智能控制给水设备及水泵智能电气控制设备的大型股份制企业全采建筑工程设计有限公司专业从事<a href="http://www.qc-design.cn">上海室内设计</a>,<a href="http://www.qc-design.cn">上海装潢设计</a>，系专业建筑室内设计机构，着力为社会提供私人住宅上海室内设计、上海装潢设计和施工服务以及公共建筑室内设计和施工服务,“全采设计”吸纳志同道合的设计师加入设计团队，其各怀绝技各有所长，从室内设计之结构、造型、色彩、材质、灯光、配饰等各个方面给予设计团队最专业的技术支持。 E-LIKES(依莱特斯)<a href="http://www.e-likes.com/">干洗店</a>、<a href="http://www.e-likes.com/">干洗加盟</a>中心,是源自欧洲概念的先进洗涤服务终端。其清新的形象、专业的服务、专业的干洗加盟，正如其天使般的名字一样，依莱特斯干洗店深受都市人群的喜爱,欢迎加入依莱特斯干洗加盟中心<a href="http://www.shjy.sh.cn/">干洗</a>,<a href="http://www.shjy.sh.cn/ganxijiameng.html">干洗加盟上海青浦莲盛专业生产<a href="http://www.915p.com/nijiangbeng.html">泥浆泵</a>,<a href="http://www.915p.com/xiaofangbeng.html">消防泵</a>,严格经过检验的磁力泵产品广泛应用于市政建设、农田水利、火力发电、石油化工、冶金矿山、消防环保、医药等各个领域,公司本着用心制造泥浆泵,消防泵，用情服务为宗旨愿与各界新老朋友携手共进,竭诚合作,共同创造水泵业界新的辉煌,欢迎广大新老客户前来订购泥浆泵,消防泵。 Welcome to http://www.mygamebuy.com <a href="http://www.mygamebuy.com/">Buy Wow Gold</a>, We will serve you with cheap wow gold , If you want to buy cheap wow gold, please come here , the best price and services are waiting for you Buy Wow Gold. 上海递玛吉传动机械有限公司是专业开发减速器、销售减速器的厂家，公司以现代化网络平台和呼叫中心为服务核心，为用户提供高品质的减速器产品与服务保障, <a href="http://www.dimaji.com/jsdj.asp">减速电机</a>,<a href="http://www.dimaji.com/cljsj.asp">齿轮减速机</a>,<a href="http://www.dimaji.com/bxzljsj.asp">摆线针轮减速机</a>,<a href="http://www.dimaji.com/wlwgjsj.asp">蜗轮蜗杆减速机</a>,<a href="http://www.dimaji.com/wljsj.asp">蜗轮减速机</a>,<a href="http://www.dimaji.com">减速器</a>,<a href="http://www.dimaji.com/jsdj.asp">sew减速机</a> 上海岭秦数码科技有限公司成立于1998年,销售各类智能卡(会员卡,<a href="http://www.200100.net/">贵宾卡</a>,IC卡,<a href="http://www.200100.net/">PVC卡</a>,<a href="http://www.200100.net/">IC卡</a>)及其设备的高科技企业。上海韩昶钢板有限公司主营宝钢、武钢、鞍本钢镀锌板卷以及彩涂卷等<a href="http://www.shhanchang.com/product.asp?d_id=3">楼承板</a>,<a href="http://www.shhanchang.com/">C型钢</a>,<a href="http://www.shhanchang.com/">镀锌卷</a>,量大从优,公司有数控剪切设备,可按客户要求剪切、加工各种镀锌、冷轧卷及特殊规格。加工费30元/吨及镀锌卷,C型钢,楼承板加工制作,欢迎广大新老客户前来洽谈. 上海舒创模型广告制作有限公司，是美国Creator Models 直接领导下的企业，是国内最具创新力的专业<a href="http://www.shuchuang.sh.cn">上海模型</a>,<a href="http://www.shuchuang.sh.cn/cb.html">船舶模型</a>,<a href="http://www.shuchuang.sh.cn/jx.html">机械模型</a>,<a href="http://www.shuchuang.sh.cn/gy.html">工业模型</a>公司，在不断发展的趋势下，我们为全国各大设计研究院，制造厂商，博物馆，企业展厅，军区，职业技能学校, 房产开发商，品牌专卖店及其他事业单位制作了大量的上<a href="http://www.shxiandao.cn/">涡流探伤</a>。 5 月 9 日
	没有名字发表: Hi,Do you need advertising displays, advertising player and LCD displays? Please go Here:www.amberdigital.com.hk(Amberdigital).we have explored and developed the international market with professionalism. We have built a widespread marketing network, and set up a capable management team dedicated to provide beyond-expectation services to our customers. amberdigital Contact Us E-mail:sstar@netvigator.com website:www.amberdigital.com.hk alibaba:amberdigital.en.alibaba.com[a 9 月 8 日

引用通告

此日志的引用通告 URL 是：

http://iauhsgnay.spaces.live.com/blog/cns!C7C5DB6D46321CDD!424.trak

引用此项的网络日志

日志

强暴.Net程序集 之七 (强命名的移除)

评论 (3)

引用通告

强暴.Net程序集之七 (强命名的移除)