[原创]Xenocode Postbuild 2009 加壳破解（不断更新中...）-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]Xenocode Postbuild 2009 加壳破解（不断更新中...）

发表于: 2009-11-9 11:00 20427

[原创]Xenocode Postbuild 2009 加壳破解（不断更新中...）

dotNetSafe 活跃值

2009-11-9 11:00

20427

周末闲来无事，就拿Postbuild 2009研究了下，还有一些问题，还请大侠们指正......

工具:Postbuild 2009破解版 , LoadPE , CFF

先用C#写个测试程序，代码如下:

CString msg = "This is test!";

MessageBox.Show(msg);

编译为Test.exe

启动Postbuild 2009 ，依次选择Suppress ILDASM  ,Metadata Renaming ,String Encryption
然后 Xenocode App

保护后的程序为Test_Xeno.exe ,试着运行下。一切正常！  然后试着用CFF打开看看它的结构，结果CFF显示Test_Xeno已经变成一个本地的非.NET程序了。比较好奇，既然它能正常运行，那就拿Windbg跟一下吧。加载Test_Xeno.exe后，试着在几个关键的地方下断， UnsafeJitFunction, compileMethod  ,结果都无法断下。然后看了下内存中的文件，没有还原的迹象。

接着在 MessageBoxW 下断，还是无法断下。陡然对 Postbuild 2009产生一丝敬畏....  难道是我的操作哪里出问题了？ .NET的程序肯定要还原的呀，不然怎么运行？？？  难道启动了多线程或者多进程？  打开任务管理器看了下，发现果然启动了一个新的进程。这下就好办了。

用Windbg Attach到进程中去 .... ，然后Dump 。用CFF打开一下，显示有错误。  好了，该是修复的时候了。依次将程序的MetaRva , MetaSize等修复。  这次，元数据表清晰的展现在我们面前。 Postbuild 加入了一些自己的类和函数。  找下原来的Main函数，用RVA的偏移定位在文件中看了下， IL代码都被还原了！！（挺意外的）不过Main函数被混淆成 xc44908776323字符串，这个没关系。  现在唯一的问题就是String Encryption这个东东了，不着急，将格式依次修复， Windbg可以帮我们解决问题。。呵呵

其实，还没有完全破解，还有些问题需要完善。希望大虾们给补充..........

总体来说， Postbuild 的保护让我很失望（不过可能Postbuild 的功能我没有研究到位）。所谓的压缩，抗ILDASM 等等吧。都是一层窗户纸，没有什么新意。更让我郁闷的是在Postbuild  的Virtualization Settings 里有 embed .net runtime 和 embed sql  的选项，难道脱离runtime运行就是这个？？？

完！！！

（兄弟们别拍砖就行~~  水平有限，期待和大家一起学习。。。）

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#.NET平台

收藏・3

免费・7

支持

最新回复 (27) 1 2 ▶
SafeNdis 雪币： 224 活跃值： (15) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 50 粉丝 1 关注私信	SafeNdis 3 2 楼高手，丁页你！ 2009-11-9 11:11 0
atrm 雪币： 83 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 272 粉丝 0 关注私信	atrm 3 楼这个壳还是比较好脱的，但是楼主给我们介绍了Windbg 的操作方法，非常感谢 2009-11-9 11:50 0
tease 雪币： 93 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 336 粉丝 0 关注私信	tease 4 楼支持楼主！！以前的版本直接下断CreateFileMapping也是可以脱掉的，甚至有时不用修复，最新的2009没有测试过。建议看雪可以开一个DONET板块，现在DONET关注度越来越高了。 2009-11-9 12:08 0
dreamzgj 雪币： 1137 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 24 回帖 412 粉丝 0 关注私信	dreamzgj 2 5 楼谢谢楼主一会也来试试. 学习支持tease,期待tease也来点文章大家学习一下.. 2009-11-9 14:00 0
atrm 雪币： 83 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 272 粉丝 0 关注私信	atrm 6 楼主要是这里没有.NET专用版，好多高手都很少共享.NET破解技术 2009-11-9 14:02 0
tease 雪币： 93 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 336 粉丝 0 关注私信	tease 7 楼是啊，现在写的DONET文章最多只能获得优秀.............. 很多人已经没有动力写了。 2009-11-9 14:57 0
dreamzgj 雪币： 1137 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 24 回帖 412 粉丝 0 关注私信	dreamzgj 2 8 楼现在tankaiha大牛不怎么搞.net了坛子里的.net小组也见不到动静支持tease能带一队,搞一个小组,进行团队式学习 2009-11-9 15:09 0
atrm 雪币： 83 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 272 粉丝 0 关注私信	atrm 9 楼非常赞同，严重支持 2009-11-9 15:11 0
bobylove 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 169 粉丝 0 关注私信	bobylove 10 楼非常赞同，严重支持 2009-11-9 15:37 0
tease 雪币： 93 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 336 粉丝 0 关注私信	tease 11 楼功力不够，我愿意做二当家的。 2009-11-9 16:16 0
dreamzgj 雪币： 1137 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 24 回帖 412 粉丝 0 关注私信	dreamzgj 2 12 楼功力不是最重要的,我认为学习交流的气氛很重要, 希望tease能够组个队,大学一起学习,一起提高. 这样交流起来更方便,学习进步的速度也会快一些. tease也看的到坛子里现在.net安全方面的情况,也看的出来有几个朋友还是想认真学习点东西的.何不把真正学想学习交流的朋友们拉到一起,我想这样对大家的学习和交流都是有促进作用的.看雪交流群(.net安全) tease也在里面吧..感觉呢? 里面牛人不怎么说话,有不少人是跑进去求破的.群里真正交流的气氛怎么样呢??tankaiha前段时间不是建议大家一起搞sa的吗?结果呢..没什么人. 而我们希望tease能领一小组出来,是真正专注于技术的小组. 不知道现在说这么多是不是早了..等tease一句话. 也希望坛子里真正专注于.net的朋友们顶起来.. 2009-11-9 16:38 0
atrm 雪币： 83 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 272 粉丝 0 关注私信	atrm 13 楼我真诚希望tease大师做领队，谢谢 2009-11-9 17:14 0
dotNetSafe 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 134 粉丝 0 关注私信	dotNetSafe 14 楼要搞sa吗？可惜没有sa的破解版，谁有可以共享下！！！ 2009-11-9 17:57 0
dotNetSafe 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 134 粉丝 0 关注私信	dotNetSafe 15 楼 tease大师，您成名了，可别忘了兄弟我啊！！呵呵 2009-11-9 18:01 0
cd37ycs 雪币： 198 活跃值： (1575) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 411 粉丝 0 关注私信	cd37ycs 16 楼期待组团学习。 2009-11-9 18:18 0
xcix 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	xcix 17 楼 .Net会越来越火啊。 2009-11-9 18:36 0
tease 雪币： 93 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 336 粉丝 0 关注私信	tease 18 楼第一：我心灰意冷各位兄弟的心情我能理解，组团比较简单，可是要长期交流其实很难，一般情况下起初都是很热闹的，可是时间一长，估计都没有人说话了。我被这种情况已经打击好多次了。第二：我没有时间从dreamzgj的资料来看还是一个学生，你的时间是非常充足的，而我的工作非常忙，每天能抽出2个小时看看书就很不错了。你应该也知道微软的更新速度，WPF、WCF、LINQ、SL等等等等，即使是非底层技术，我也是需要学习的。你目前的奋斗目标可能是单纯的技术研究，而我还肩负着家庭、房贷、工作等众多问题。对我来说解密技术不是养家糊口的最佳途径，所以一般是抱着娱乐的态度来学习。而且我更喜欢做一些软件设计思想上的研究，而绝非解密这一单纯领域。如果让我组团，是对大家一种不负责任的表现。所以如果你们有谁组团，叫上我就行了，我愿意分享我的已知技术。好像是指破解{Sa}这个软件，而不是破解被{Sa}加密的软件吧。 http://bbs.pediy.com/showthread.php?t=99470 dotNetSafe你来组一个吧。 2009-11-9 19:39 0
dreamzgj 雪币： 1137 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 24 回帖 412 粉丝 0 关注私信	dreamzgj 2 19 楼谢谢tease 理解万岁,谢谢tease大师 2009-11-9 19:44 0
dotNetSafe 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 134 粉丝 0 关注私信	dotNetSafe 20 楼 tease太抬举我了，我是一介草民！呵呵。 2009-11-9 22:21 0
atrm 雪币： 83 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 272 粉丝 0 关注私信	atrm 21 楼真诚希望有人能领队，谢谢 2009-11-10 09:29 0
kanxue 雪币： 47147 活跃值： (20410) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 539 关注私信	kanxue 8 22 楼好的，这几天如果碰到tankaiha ，我和他商量一下。 2009-11-10 15:05 0
atrm 雪币： 83 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 272 粉丝 0 关注私信	atrm 23 楼非常感谢坛主 2009-11-10 16:00 0
芳草碧连雪币： 290 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 327 粉丝 0 关注私信	芳草碧连 24 楼 tease大哥辛苦了^_ 2009-11-11 14:55 0
chinarenjf 雪币： 7072 活跃值： (4010) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 229 粉丝 0 关注私信	chinarenjf 25 楼强力顶起呀!! 2009-11-23 10:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

dotNetSafe

发帖

134

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (27) 1 2 ▶
SafeNdis 雪币： 224 活跃值： (15) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 50 粉丝 1 关注私信	SafeNdis 3 2 楼高手，丁页你！ 2009-11-9 11:11 0
atrm 雪币： 83 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 272 粉丝 0 关注私信	atrm 3 楼这个壳还是比较好脱的，但是楼主给我们介绍了Windbg 的操作方法，非常感谢 2009-11-9 11:50 0
tease 雪币： 93 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 336 粉丝 0 关注私信	tease 4 楼支持楼主！！以前的版本直接下断CreateFileMapping也是可以脱掉的，甚至有时不用修复，最新的2009没有测试过。建议看雪可以开一个DONET板块，现在DONET关注度越来越高了。 2009-11-9 12:08 0
dreamzgj 雪币： 1137 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 24 回帖 412 粉丝 0 关注私信	dreamzgj 2 5 楼谢谢楼主一会也来试试. 学习支持tease,期待tease也来点文章大家学习一下.. 2009-11-9 14:00 0
atrm 雪币： 83 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 272 粉丝 0 关注私信	atrm 6 楼主要是这里没有.NET专用版，好多高手都很少共享.NET破解技术 2009-11-9 14:02 0
tease 雪币： 93 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 336 粉丝 0 关注私信	tease 7 楼是啊，现在写的DONET文章最多只能获得优秀.............. 很多人已经没有动力写了。 2009-11-9 14:57 0
dreamzgj 雪币： 1137 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 24 回帖 412 粉丝 0 关注私信	dreamzgj 2 8 楼现在tankaiha大牛不怎么搞.net了坛子里的.net小组也见不到动静支持tease能带一队,搞一个小组,进行团队式学习 2009-11-9 15:09 0
atrm 雪币： 83 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 272 粉丝 0 关注私信	atrm 9 楼非常赞同，严重支持 2009-11-9 15:11 0
bobylove 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 169 粉丝 0 关注私信	bobylove 10 楼非常赞同，严重支持 2009-11-9 15:37 0
tease 雪币： 93 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 336 粉丝 0 关注私信	tease 11 楼功力不够，我愿意做二当家的。 2009-11-9 16:16 0
dreamzgj 雪币： 1137 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 24 回帖 412 粉丝 0 关注私信	dreamzgj 2 12 楼功力不是最重要的,我认为学习交流的气氛很重要, 希望tease能够组个队,大学一起学习,一起提高. 这样交流起来更方便,学习进步的速度也会快一些. tease也看的到坛子里现在.net安全方面的情况,也看的出来有几个朋友还是想认真学习点东西的.何不把真正学想学习交流的朋友们拉到一起,我想这样对大家的学习和交流都是有促进作用的.看雪交流群(.net安全) tease也在里面吧..感觉呢? 里面牛人不怎么说话,有不少人是跑进去求破的.群里真正交流的气氛怎么样呢??tankaiha前段时间不是建议大家一起搞sa的吗?结果呢..没什么人. 而我们希望tease能领一小组出来,是真正专注于技术的小组. 不知道现在说这么多是不是早了..等tease一句话. 也希望坛子里真正专注于.net的朋友们顶起来.. 2009-11-9 16:38 0
atrm 雪币： 83 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 272 粉丝 0 关注私信	atrm 13 楼我真诚希望tease大师做领队，谢谢 2009-11-9 17:14 0
dotNetSafe 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 134 粉丝 0 关注私信	dotNetSafe 14 楼要搞sa吗？可惜没有sa的破解版，谁有可以共享下！！！ 2009-11-9 17:57 0
dotNetSafe 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 134 粉丝 0 关注私信	dotNetSafe 15 楼 tease大师，您成名了，可别忘了兄弟我啊！！呵呵 2009-11-9 18:01 0
cd37ycs 雪币： 198 活跃值： (1575) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 411 粉丝 0 关注私信	cd37ycs 16 楼期待组团学习。 2009-11-9 18:18 0
xcix 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	xcix 17 楼 .Net会越来越火啊。 2009-11-9 18:36 0
tease 雪币： 93 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 336 粉丝 0 关注私信	tease 18 楼第一：我心灰意冷各位兄弟的心情我能理解，组团比较简单，可是要长期交流其实很难，一般情况下起初都是很热闹的，可是时间一长，估计都没有人说话了。我被这种情况已经打击好多次了。第二：我没有时间从dreamzgj的资料来看还是一个学生，你的时间是非常充足的，而我的工作非常忙，每天能抽出2个小时看看书就很不错了。你应该也知道微软的更新速度，WPF、WCF、LINQ、SL等等等等，即使是非底层技术，我也是需要学习的。你目前的奋斗目标可能是单纯的技术研究，而我还肩负着家庭、房贷、工作等众多问题。对我来说解密技术不是养家糊口的最佳途径，所以一般是抱着娱乐的态度来学习。而且我更喜欢做一些软件设计思想上的研究，而绝非解密这一单纯领域。如果让我组团，是对大家一种不负责任的表现。所以如果你们有谁组团，叫上我就行了，我愿意分享我的已知技术。好像是指破解{Sa}这个软件，而不是破解被{Sa}加密的软件吧。 http://bbs.pediy.com/showthread.php?t=99470 dotNetSafe你来组一个吧。 2009-11-9 19:39 0
dreamzgj 雪币： 1137 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 24 回帖 412 粉丝 0 关注私信	dreamzgj 2 19 楼谢谢tease 理解万岁,谢谢tease大师 2009-11-9 19:44 0
dotNetSafe 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 134 粉丝 0 关注私信	dotNetSafe 20 楼 tease太抬举我了，我是一介草民！呵呵。 2009-11-9 22:21 0
atrm 雪币： 83 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 272 粉丝 0 关注私信	atrm 21 楼真诚希望有人能领队，谢谢 2009-11-10 09:29 0
kanxue 雪币： 47147 活跃值： (20410) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 539 关注私信	kanxue 8 22 楼好的，这几天如果碰到tankaiha ，我和他商量一下。 2009-11-10 15:05 0
atrm 雪币： 83 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 272 粉丝 0 关注私信	atrm 23 楼非常感谢坛主 2009-11-10 16:00 0
芳草碧连雪币： 290 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 327 粉丝 0 关注私信	芳草碧连 24 楼 tease大哥辛苦了^_ 2009-11-11 14:55 0
chinarenjf 雪币： 7072 活跃值： (4010) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 229 粉丝 0 关注私信	chinarenjf 25 楼强力顶起呀!! 2009-11-23 10:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[原创]Xenocode Postbuild 2009 加壳破解 （不断更新中...）

[原创]Xenocode Postbuild 2009 加壳破解（不断更新中...）