[求助]NET程序rocky2狗壳怎么脱?-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[求助]NET程序rocky2狗壳怎么脱?

发表于: 2009-10-26 13:09 9405

[求助]NET程序rocky2狗壳怎么脱?

bobylove

2009-10-26 13:09

9405

有狗,NET程序rocky2狗壳怎么脱?

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

收藏・0

免费・0

支持

最新回复 (24)
OnlyDoNET 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	OnlyDoNET 2 楼放个DEMO上来看看。 2009-10-26 13:17 0
bobylove 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 169 粉丝 0 关注私信	bobylove 3 楼 DEMO: 王.rar 上传的附件：王.rar （691.31kb，25次下载） 2009-10-26 13:45 0
tease 雪币： 93 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 336 粉丝 0 关注私信	tease 4 楼可惜楼主来晚一步，这是一个国产软件，我上周刚刚在坛子里面说我不再参与任何国产软件的技术讨论。请不要向我索取任何破解版本............. 我来贴张图，显摆以下，看看还有哪位可以搞定。推荐玩DONET的都来挑战一下，还是有点难度的。我个人感觉可以难倒85%的DONET破解者。上传的附件： 1.JPG （45.23kb，211次下载） 2009-10-27 01:19 0
bobylove 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 169 粉丝 0 关注私信	bobylove 5 楼 tease 很厉害的说，可以说说分析过程吗 2009-10-27 10:46 0
tease 雪币： 93 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 336 粉丝 0 关注私信	tease 6 楼我提示一下吧，总体感觉这个加密狗和.NET Reactor非常相似，因此也可以按照Reactor的方法来脱。和Reactor相比，他的混淆能力明显不足，但是比Reactor多了一层加密，所以要掌握好Dump的时机，如果过早的话，在IL代码中就会有很多无法识别的指令。建议楼主阅读Reactor相关资料..... 只能说这么多了。如果说得过多，我担心某些人又要出来收我保护费了。 2009-10-27 17:40 0
bobylove 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 169 粉丝 0 关注私信	bobylove 7 楼谢谢tease 的提示，请问是动态脱壳吗?用OD或者是WINDBG? 2009-10-27 18:17 0
tease 雪币： 93 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 336 粉丝 0 关注私信	tease 8 楼是动态脱壳。其实你自己多看看脱Reactor壳的相关资料就知道怎么做了。 OD和WinDBG都可以。推荐使用OD。 2009-10-27 18:25 0
bobylove 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 169 粉丝 0 关注私信	bobylove 9 楼谢谢tease,不懂在请教 2009-10-27 18:33 0
bobylove 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 169 粉丝 0 关注私信	bobylove 10 楼在论坛上搜索了一下，没有找到关于动态脱Reactor的资料，希望tease能指教一下 2009-10-27 18:49 0
tease 雪币： 93 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 336 粉丝 0 关注私信	tease 11 楼晕阿，这东西当然要到老外的网站上找啊 http://rongchaua.net/security-mainmenu-28/13-dotnet/109-how-to-unpack-net-reactor-36 2009-10-27 21:30 0
bobylove 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 169 粉丝 0 关注私信	bobylove 12 楼看了看，按照教程上做,一直没有找到运行后的文件头MZ. 2009-10-27 23:23 0
tease 雪币： 93 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 336 粉丝 0 关注私信	tease 13 楼请参考tankaiha 大侠的万能断点来找文件头。 http://bbs.pediy.com/showthread.php?t=31886 2009-10-28 18:08 0
bobylove 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 169 粉丝 0 关注私信	bobylove 14 楼万能断点”，mscorjit.dll的compileMethod处,在我的机上是7906e83e。在OD中下断，bp 7906e83e。完全打开程序后下断点7906e83e.然后中断，看堆栈窗口. 跟随0012e8e4到数据窗口.看地址是0125e1f8.打开内存窗口找到01200000区段，但01200000区段是IrisSkin2.dll的领空. 上传的附件：未命名.jpg （19.05kb，185次下载） 1.jpg （34.16kb，187次下载） 2.jpg （27.34kb，186次下载） 2009-10-28 20:46 0
tease 雪币： 93 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 336 粉丝 0 关注私信	tease 15 楼 .......................................... 上传的附件： 1.JPG （62.57kb，183次下载） 2009-10-28 22:27 0
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 20 关注私信	KuNgBiM 66 16 楼 1、自己编译一个.NET的程序，然后反成il文件，待用。 2、用rockey加密这个.NET程序，然后反成il文件，待用。 3、比对1、2反编译后的il文件，删除il中不同的部分，保存。 4、反编译重构回来即可。 2009-10-29 09:07 0
bobylove 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 169 粉丝 0 关注私信	bobylove 17 楼我不太明白这个图.地址为什么是400000呢?直接dump这个区段? 上传的附件： 1.JPG （62.57kb，75次下载） 2009-10-29 10:56 0
tease 雪币： 93 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 336 粉丝 0 关注私信	tease 18 楼 KuNgBiM大牛含蓄的讲解了如何修复。在Win32下老K早成妖了，现在也来搞DONET 建议多看Tankaiha 写的文章，楼主所有的疑问都会消除，而且肯定会找到答案的。 2009-10-29 18:14 0
bobylove 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 169 粉丝 0 关注私信	bobylove 19 楼谢谢2位这么热情的关注.我下午用rocky4自己加了个NET程序，可以脱壳. 步骤是,直接运行程序.然后DUMP下来,用Reflector打开可以看到资源都解密了。然后反编译成IL,去掉里面的狗调用.然后在编译可以直接运行。但rocky2的我也按照这样搞的，但DUMP下来的资源还是加密的. 2009-10-29 19:05 0
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 20 关注私信	KuNgBiM 66 20 楼 rockey * 对donet二次加密就是这样的先把目标donet程序分解成il代码文件，然后write rockey 调用代码，然后再编译回去 2009-10-30 11:32 0
bobylove 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 169 粉丝 0 关注私信	bobylove 21 楼先把目标donet程序分解成il代码文件.分解成IL后，不能编译回去了。附上脱壳后的EXE和IL文件. 新建文件夹.rar 上传的附件：新建文件夹.rar （170.52kb，4次下载） 2009-10-30 13:11 0
tease 雪币： 93 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 336 粉丝 0 关注私信	tease 22 楼革命快成功了...................... 2009-10-31 02:57 0
bobylove 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 169 粉丝 0 关注私信	bobylove 23 楼 tease是不是需要去掉DUMP下来的IL文件里的读狗的代码才可以编译回去?我看IL文件里有很多无效的指令代码 2009-10-31 11:09 0
tease 雪币： 93 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 336 粉丝 0 关注私信	tease 24 楼既然有二次加密，当然需要二次解密，老K不是已经把方法都说了嘛。上传的附件： 2.jpg （99.70kb，61次下载） 1.jpg （154.08kb，58次下载） 2009-10-31 14:02 0
bobylove 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 169 粉丝 0 关注私信	bobylove 25 楼 [QUOTE=tease;706054]既然有二次加密，当然需要二次解密，老K不是已经把方法都说了嘛。 [/QUOTE] 为什么我DUMP下来的那里没有代码呢?返回时机不对吗? 2009-10-31 15:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

bobylove

发帖

169

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (24)
OnlyDoNET 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	OnlyDoNET 2 楼放个DEMO上来看看。 2009-10-26 13:17 0
bobylove 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 169 粉丝 0 关注私信	bobylove 3 楼 DEMO: 王.rar 上传的附件：王.rar （691.31kb，25次下载） 2009-10-26 13:45 0
tease 雪币： 93 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 336 粉丝 0 关注私信	tease 4 楼可惜楼主来晚一步，这是一个国产软件，我上周刚刚在坛子里面说我不再参与任何国产软件的技术讨论。请不要向我索取任何破解版本............. 我来贴张图，显摆以下，看看还有哪位可以搞定。推荐玩DONET的都来挑战一下，还是有点难度的。我个人感觉可以难倒85%的DONET破解者。上传的附件： 1.JPG （45.23kb，211次下载） 2009-10-27 01:19 0
bobylove 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 169 粉丝 0 关注私信	bobylove 5 楼 tease 很厉害的说，可以说说分析过程吗 2009-10-27 10:46 0
tease 雪币： 93 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 336 粉丝 0 关注私信	tease 6 楼我提示一下吧，总体感觉这个加密狗和.NET Reactor非常相似，因此也可以按照Reactor的方法来脱。和Reactor相比，他的混淆能力明显不足，但是比Reactor多了一层加密，所以要掌握好Dump的时机，如果过早的话，在IL代码中就会有很多无法识别的指令。建议楼主阅读Reactor相关资料..... 只能说这么多了。如果说得过多，我担心某些人又要出来收我保护费了。 2009-10-27 17:40 0
bobylove 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 169 粉丝 0 关注私信	bobylove 7 楼谢谢tease 的提示，请问是动态脱壳吗?用OD或者是WINDBG? 2009-10-27 18:17 0
tease 雪币： 93 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 336 粉丝 0 关注私信	tease 8 楼是动态脱壳。其实你自己多看看脱Reactor壳的相关资料就知道怎么做了。 OD和WinDBG都可以。推荐使用OD。 2009-10-27 18:25 0
bobylove 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 169 粉丝 0 关注私信	bobylove 9 楼谢谢tease,不懂在请教 2009-10-27 18:33 0
bobylove 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 169 粉丝 0 关注私信	bobylove 10 楼在论坛上搜索了一下，没有找到关于动态脱Reactor的资料，希望tease能指教一下 2009-10-27 18:49 0
tease 雪币： 93 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 336 粉丝 0 关注私信	tease 11 楼晕阿，这东西当然要到老外的网站上找啊 http://rongchaua.net/security-mainmenu-28/13-dotnet/109-how-to-unpack-net-reactor-36 2009-10-27 21:30 0
bobylove 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 169 粉丝 0 关注私信	bobylove 12 楼看了看，按照教程上做,一直没有找到运行后的文件头MZ. 2009-10-27 23:23 0
tease 雪币： 93 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 336 粉丝 0 关注私信	tease 13 楼请参考tankaiha 大侠的万能断点来找文件头。 http://bbs.pediy.com/showthread.php?t=31886 2009-10-28 18:08 0
bobylove 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 169 粉丝 0 关注私信	bobylove 14 楼万能断点”，mscorjit.dll的compileMethod处,在我的机上是7906e83e。在OD中下断，bp 7906e83e。完全打开程序后下断点7906e83e.然后中断，看堆栈窗口. 跟随0012e8e4到数据窗口.看地址是0125e1f8.打开内存窗口找到01200000区段，但01200000区段是IrisSkin2.dll的领空. 上传的附件：未命名.jpg （19.05kb，185次下载） 1.jpg （34.16kb，187次下载） 2.jpg （27.34kb，186次下载） 2009-10-28 20:46 0
tease 雪币： 93 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 336 粉丝 0 关注私信	tease 15 楼 .......................................... 上传的附件： 1.JPG （62.57kb，183次下载） 2009-10-28 22:27 0
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 20 关注私信	KuNgBiM 66 16 楼 1、自己编译一个.NET的程序，然后反成il文件，待用。 2、用rockey加密这个.NET程序，然后反成il文件，待用。 3、比对1、2反编译后的il文件，删除il中不同的部分，保存。 4、反编译重构回来即可。 2009-10-29 09:07 0
bobylove 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 169 粉丝 0 关注私信	bobylove 17 楼我不太明白这个图.地址为什么是400000呢?直接dump这个区段? 上传的附件： 1.JPG （62.57kb，75次下载） 2009-10-29 10:56 0
tease 雪币： 93 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 336 粉丝 0 关注私信	tease 18 楼 KuNgBiM大牛含蓄的讲解了如何修复。在Win32下老K早成妖了，现在也来搞DONET 建议多看Tankaiha 写的文章，楼主所有的疑问都会消除，而且肯定会找到答案的。 2009-10-29 18:14 0
bobylove 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 169 粉丝 0 关注私信	bobylove 19 楼谢谢2位这么热情的关注.我下午用rocky4自己加了个NET程序，可以脱壳. 步骤是,直接运行程序.然后DUMP下来,用Reflector打开可以看到资源都解密了。然后反编译成IL,去掉里面的狗调用.然后在编译可以直接运行。但rocky2的我也按照这样搞的，但DUMP下来的资源还是加密的. 2009-10-29 19:05 0
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 20 关注私信	KuNgBiM 66 20 楼 rockey * 对donet二次加密就是这样的先把目标donet程序分解成il代码文件，然后write rockey 调用代码，然后再编译回去 2009-10-30 11:32 0
bobylove 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 169 粉丝 0 关注私信	bobylove 21 楼先把目标donet程序分解成il代码文件.分解成IL后，不能编译回去了。附上脱壳后的EXE和IL文件. 新建文件夹.rar 上传的附件：新建文件夹.rar （170.52kb，4次下载） 2009-10-30 13:11 0
tease 雪币： 93 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 336 粉丝 0 关注私信	tease 22 楼革命快成功了...................... 2009-10-31 02:57 0
bobylove 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 169 粉丝 0 关注私信	bobylove 23 楼 tease是不是需要去掉DUMP下来的IL文件里的读狗的代码才可以编译回去?我看IL文件里有很多无效的指令代码 2009-10-31 11:09 0
tease 雪币： 93 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 336 粉丝 0 关注私信	tease 24 楼既然有二次加密，当然需要二次解密，老K不是已经把方法都说了嘛。上传的附件： 2.jpg （99.70kb，61次下载） 1.jpg （154.08kb，58次下载） 2009-10-31 14:02 0
bobylove 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 169 粉丝 0 关注私信	bobylove 25 楼 [QUOTE=tease;706054]既然有二次加密，当然需要二次解密，老K不是已经把方法都说了嘛。 [/QUOTE] 为什么我DUMP下来的那里没有代码呢?返回时机不对吗? 2009-10-31 15:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复