[求助].NET Reactor 4.0的壳怎么脱?-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
DONET 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 38 粉丝 0 关注私信	DONET 2 楼楼主这个没有用最高保护模式吧，感觉没有加壳，只是混淆了一下而已，因此没有什么难度，直接用dilasm和ilasm就搞定了。上传的附件： demo.rar （39.25kb，25次下载） 2009-11-11 22:40 0
bobylove 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 169 粉丝 0 关注私信	bobylove 3 楼默认保护，在放个最强保护的. 加密.rar 上传的附件：加密.rar （123.77kb，30次下载） 2009-11-12 10:37 0
dreamzgj 雪币： 1137 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 24 回帖 412 粉丝 0 关注私信	dreamzgj 2 4 楼占个位置期待给个思路学习 2009-11-12 11:35 0
tease 雪币： 93 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 336 粉丝 0 关注私信	tease 5 楼只谈思路： Dump 到所有的结构不是很难，但是Dump出来后会发现所有的方法内容都是空的，因此难就难在如何获得ILCode。在4.0以前的版本可以下断WriteProcessMemory让程序自己还原ILcode，总之只要掌握好Dump时机，整个程序集是可以被完美dump出来的。但是对于目前的版本，貌似这种方法不行了，目前我还不清楚是如何操作内存的，好在Reactor还没有用到虚拟机技术，因此只要守住JitCompile的瓶口抓取ILCode，然后还原，理论上是可行的。这个难度可能相当于脱MaxToCode的早期版本难度。当然需要再把Rick的文章多拜读几次........ 当然这仅仅是我的思路，可能有误，而且实践起来肯定会比想象中难得多。希望大家分享更多的方法。 2009-11-13 10:43 0
dreamzgj 雪币： 1137 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 24 回帖 412 粉丝 0 关注私信	dreamzgj 2 6 楼谢谢tease大师 .net reactor4.0我用的是Danny_su的破解版我的Demo除了Native Exe file没有选中.其他的都选择了,settings选项卡中用的是默认. 在OD里面调试总是出现异常..导致程序退出,不过昨天在windbg中调试程序顺利运行起来了,但是发现在方法中还是空的,看不到IL代码,还得继续摸索,谢谢tease大师提供思路, 一会就去在把rick大牛的关于maxtocode的文章好好看好 2009-11-13 13:47 0
bobylove 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 169 粉丝 0 关注私信	bobylove 7 楼 test.rar 放个附件,这个附件不清楚是3.9X还是4.0的。.NET Reactor是从3.9X开始还是4.0以后.查壳就是NET而不是delphi? 上传的附件： test.rar （704.84kb，7次下载） 2009-11-13 22:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
DONET 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 38 粉丝 0 关注私信	DONET 2 楼楼主这个没有用最高保护模式吧，感觉没有加壳，只是混淆了一下而已，因此没有什么难度，直接用dilasm和ilasm就搞定了。上传的附件： demo.rar （39.25kb，25次下载） 2009-11-11 22:40 0
bobylove 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 169 粉丝 0 关注私信	bobylove 3 楼默认保护，在放个最强保护的. 加密.rar 上传的附件：加密.rar （123.77kb，30次下载） 2009-11-12 10:37 0
dreamzgj 雪币： 1137 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 24 回帖 412 粉丝 0 关注私信	dreamzgj 2 4 楼占个位置期待给个思路学习 2009-11-12 11:35 0
tease 雪币： 93 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 336 粉丝 0 关注私信	tease 5 楼只谈思路： Dump 到所有的结构不是很难，但是Dump出来后会发现所有的方法内容都是空的，因此难就难在如何获得ILCode。在4.0以前的版本可以下断WriteProcessMemory让程序自己还原ILcode，总之只要掌握好Dump时机，整个程序集是可以被完美dump出来的。但是对于目前的版本，貌似这种方法不行了，目前我还不清楚是如何操作内存的，好在Reactor还没有用到虚拟机技术，因此只要守住JitCompile的瓶口抓取ILCode，然后还原，理论上是可行的。这个难度可能相当于脱MaxToCode的早期版本难度。当然需要再把Rick的文章多拜读几次........ 当然这仅仅是我的思路，可能有误，而且实践起来肯定会比想象中难得多。希望大家分享更多的方法。 2009-11-13 10:43 0
dreamzgj 雪币： 1137 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 24 回帖 412 粉丝 0 关注私信	dreamzgj 2 6 楼谢谢tease大师 .net reactor4.0我用的是Danny_su的破解版我的Demo除了Native Exe file没有选中.其他的都选择了,settings选项卡中用的是默认. 在OD里面调试总是出现异常..导致程序退出,不过昨天在windbg中调试程序顺利运行起来了,但是发现在方法中还是空的,看不到IL代码,还得继续摸索,谢谢tease大师提供思路, 一会就去在把rick大牛的关于maxtocode的文章好好看好 2009-11-13 13:47 0
bobylove 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 169 粉丝 0 关注私信	bobylove 7 楼 test.rar 放个附件,这个附件不清楚是3.9X还是4.0的。.NET Reactor是从3.9X开始还是4.0以后.查壳就是NET而不是delphi? 上传的附件： test.rar （704.84kb，7次下载） 2009-11-13 22:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复