[求助].net遇到瓶颈，期待“大禹”的出现，指点一二-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助].net遇到瓶颈，期待“大禹”的出现，指点一二

2009-12-30 15:48 8185

[求助].net遇到瓶颈，期待“大禹”的出现，指点一二

tinychip

2009-12-30 15:48

8185

分析一个.net软件，找到关键文件是licecse.dll，用refletor反编译后得到代码如下：

另再附上refletor反编译时的结构图
附在后面了
代码中的两段字符串认为是两个密钥，同时在一个.xml文件中找到加密后的乱码密文，现在的问题是不能确定是否对代码进行了混淆，对于switch语句不知最后选择结果是什么，即不知都选用何种算法。试问可以在哪里找到算法的代码？或者有其他思路，第一次做贴，还望多多指教。

[培训]二进制漏洞攻防（第3期）；满10人开班；模糊测试与工具使用二次开发；网络协议漏洞挖掘；Linux内核漏洞挖掘与利用；AOSP漏洞挖掘与利用；代码审计。

#.NET平台

上传的附件：

1.JPG （73.14kb，305次下载）
2.JPG （71.39kb，302次下载）
3.JPG （10.58kb，297次下载）

收藏・0

点赞・0

打赏

最新回复 (23)
tinychip 雪币： 135 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 191 粉丝 0 关注私信	tinychip 2009-12-30 15:49 2 楼 0 如有什么不妥还望多多包涵，绝无其他意图，一心向学上传的附件： 4.JPG （46.78kb，300次下载） 5.JPG （71.99kb，301次下载） 6.JPG （28.83kb，301次下载）
chinarenjf 雪币： 6000 活跃值： (2965) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 227 粉丝 0 关注私信	chinarenjf 2009-12-30 15:58 3 楼 0 导出,在分支上添加messageBox后替换换原的dll
tinychip 雪币： 135 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 191 粉丝 0 关注私信	tinychip 2009-12-30 16:01 4 楼 0 不好意思，我还没入门，能不能具体点？哪个分支，怎么添加，哪个是还原的dll呢
tinychip 雪币： 135 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 191 粉丝 0 关注私信	tinychip 2009-12-30 16:08 5 楼 0 你这么做的理由是什么，能把原理讲下吗
chinarenjf 雪币： 6000 活跃值： (2965) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 227 粉丝 0 关注私信	chinarenjf 2009-12-30 16:37 6 楼 0 重写这个DLL,代码不多,然后在每个分支上加MessageBox,替换原来的DLL,就可以知道是调用哪个分支
dotNetSafe 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 139 粉丝 0 关注私信	dotNetSafe 2009-12-30 17:11 7 楼 0 refletor的反编译如此整洁，肯定没混。
tinychip 雪币： 135 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 191 粉丝 0 关注私信	tinychip 2009-12-30 17:19 8 楼 0 你的意思是不是说通过MessageBox来判断在哪个分支实现了显示消息对话框这个功能，后面就是注册码的输入和判断，那么相关验证的算法也必然在这个分支里？只要找到这个分支，那么就可以看到算法的源代码了吗？
tinychip 雪币： 135 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 191 粉丝 0 关注私信	tinychip 2009-12-30 17:25 9 楼 0 对于结构图中提到的4个算法的名称该怎么解释呢？依次赋值是0，1，2，3。是不是选择了某个算法，然后在其他分支中进行验证，可以看到算法源代码吗？
Rucit 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 108 粉丝 0 关注私信	Rucit 2009-12-30 20:06 10 楼 0 文件能不能上传一下供分析？
tinychip 雪币： 135 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 191 粉丝 0 关注私信	tinychip 2009-12-31 07:44 11 楼 0 license.rar 只上传一个DLL文件够吗上传的附件： license.rar （2.81kb，5次下载）
tinychip 雪币： 135 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 191 粉丝 0 关注私信	tinychip 2009-12-31 10:35 12 楼 0 我想知道算法的代码可以在哪里找到，应该是选用了那三个的其中一个吧？
DONET 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 38 粉丝 0 关注私信	DONET 2009-12-31 12:20 13 楼 0 感觉这个dll没有实质性的东西。上传的附件： license.zip （5.71kb，4次下载）
tinychip 雪币： 135 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 191 粉丝 0 关注私信	tinychip 2009-12-31 12:38 14 楼 0 也可以这么说吧，有算法但是找不到在哪里计算，请问你都作了什么操作？就用refletor看吗
DONET 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 38 粉丝 0 关注私信	DONET 2009-12-31 16:00 15 楼 0 ........................................ 上传的附件： untitled.JPG （15.49kb，241次下载）
tinychip 雪币： 135 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 191 粉丝 0 关注私信	tinychip 2009-12-31 16:18 16 楼 0 请问这是什么？
DONET 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 38 粉丝 0 关注私信	DONET 2009-12-31 16:32 17 楼 0 这都是不仔细拜读tankaiha 文章的后果上传的附件： untitled.JPG （46.72kb，79次下载）
tinychip 雪币： 135 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 191 粉丝 0 关注私信	tinychip 2009-12-31 16:41 18 楼 0 [QUOTE=DONET;736742] ........................................[/QUOTE] 请问这个是什么，不能加载DLL吗？
tinychip 雪币： 135 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 191 粉丝 0 关注私信	tinychip 2009-12-31 16:42 19 楼 0 不好意思，还望指点
tinychip 雪币： 135 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 191 粉丝 0 关注私信	tinychip 2009-12-31 16:53 20 楼 0 不好意思，你说的这个人是谁啊上传的附件： 123.JPG （21.30kb，76次下载）
tinychip 雪币： 135 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 191 粉丝 0 关注私信	tinychip 2009-12-31 16:54 21 楼 0 你传上这两张图片是什么意思，能说具体点吗？
hezhichun 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 47 粉丝 0 关注私信	hezhichun 2010-1-6 19:11 22 楼 0 不认识他还来看雪去买.net 加密与解密再来吧
tinychip 雪币： 135 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 191 粉丝 0 关注私信	tinychip 2010-1-7 08:09 23 楼 0 请你说话注意点，你看我打的是什么。是我名字打错了。
zhupf 雪币： 306 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 100 粉丝 0 关注私信	zhupf 2010-1-9 09:40 24 楼 0 问的问题也太郁闷了...还不如自己搞.C#代码不熟就看其他语言代码.连是否混淆了都看不出来你还看C#干嘛.
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

tinychip

发帖

191

回帖

RANK

关注

私信

他的文章

[求助]大附件问题

[讨论].net平台下的算法

[求助]该用OD还是reflector？

[讨论]关于我目前的状况和境遇，给点意见

关于我们

联系我们

企业服务

看雪公众号

最新回复 (23)
tinychip 雪币： 135 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 191 粉丝 0 关注私信	tinychip 2009-12-30 15:49 2 楼 0 如有什么不妥还望多多包涵，绝无其他意图，一心向学上传的附件： 4.JPG （46.78kb，300次下载） 5.JPG （71.99kb，301次下载） 6.JPG （28.83kb，301次下载）
chinarenjf 雪币： 6000 活跃值： (2965) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 227 粉丝 0 关注私信	chinarenjf 2009-12-30 15:58 3 楼 0 导出,在分支上添加messageBox后替换换原的dll
tinychip 雪币： 135 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 191 粉丝 0 关注私信	tinychip 2009-12-30 16:01 4 楼 0 不好意思，我还没入门，能不能具体点？哪个分支，怎么添加，哪个是还原的dll呢
tinychip 雪币： 135 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 191 粉丝 0 关注私信	tinychip 2009-12-30 16:08 5 楼 0 你这么做的理由是什么，能把原理讲下吗
chinarenjf 雪币： 6000 活跃值： (2965) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 227 粉丝 0 关注私信	chinarenjf 2009-12-30 16:37 6 楼 0 重写这个DLL,代码不多,然后在每个分支上加MessageBox,替换原来的DLL,就可以知道是调用哪个分支
dotNetSafe 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 139 粉丝 0 关注私信	dotNetSafe 2009-12-30 17:11 7 楼 0 refletor的反编译如此整洁，肯定没混。
tinychip 雪币： 135 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 191 粉丝 0 关注私信	tinychip 2009-12-30 17:19 8 楼 0 你的意思是不是说通过MessageBox来判断在哪个分支实现了显示消息对话框这个功能，后面就是注册码的输入和判断，那么相关验证的算法也必然在这个分支里？只要找到这个分支，那么就可以看到算法的源代码了吗？
tinychip 雪币： 135 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 191 粉丝 0 关注私信	tinychip 2009-12-30 17:25 9 楼 0 对于结构图中提到的4个算法的名称该怎么解释呢？依次赋值是0，1，2，3。是不是选择了某个算法，然后在其他分支中进行验证，可以看到算法源代码吗？
Rucit 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 108 粉丝 0 关注私信	Rucit 2009-12-30 20:06 10 楼 0 文件能不能上传一下供分析？
tinychip 雪币： 135 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 191 粉丝 0 关注私信	tinychip 2009-12-31 07:44 11 楼 0 license.rar 只上传一个DLL文件够吗上传的附件： license.rar （2.81kb，5次下载）
tinychip 雪币： 135 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 191 粉丝 0 关注私信	tinychip 2009-12-31 10:35 12 楼 0 我想知道算法的代码可以在哪里找到，应该是选用了那三个的其中一个吧？
DONET 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 38 粉丝 0 关注私信	DONET 2009-12-31 12:20 13 楼 0 感觉这个dll没有实质性的东西。上传的附件： license.zip （5.71kb，4次下载）
tinychip 雪币： 135 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 191 粉丝 0 关注私信	tinychip 2009-12-31 12:38 14 楼 0 也可以这么说吧，有算法但是找不到在哪里计算，请问你都作了什么操作？就用refletor看吗
DONET 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 38 粉丝 0 关注私信	DONET 2009-12-31 16:00 15 楼 0 ........................................ 上传的附件： untitled.JPG （15.49kb，241次下载）
tinychip 雪币： 135 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 191 粉丝 0 关注私信	tinychip 2009-12-31 16:18 16 楼 0 请问这是什么？
DONET 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 38 粉丝 0 关注私信	DONET 2009-12-31 16:32 17 楼 0 这都是不仔细拜读tankaiha 文章的后果上传的附件： untitled.JPG （46.72kb，79次下载）
tinychip 雪币： 135 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 191 粉丝 0 关注私信	tinychip 2009-12-31 16:41 18 楼 0 [QUOTE=DONET;736742] ........................................[/QUOTE] 请问这个是什么，不能加载DLL吗？
tinychip 雪币： 135 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 191 粉丝 0 关注私信	tinychip 2009-12-31 16:42 19 楼 0 不好意思，还望指点
tinychip 雪币： 135 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 191 粉丝 0 关注私信	tinychip 2009-12-31 16:53 20 楼 0 不好意思，你说的这个人是谁啊上传的附件： 123.JPG （21.30kb，76次下载）
tinychip 雪币： 135 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 191 粉丝 0 关注私信	tinychip 2009-12-31 16:54 21 楼 0 你传上这两张图片是什么意思，能说具体点吗？
hezhichun 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 47 粉丝 0 关注私信	hezhichun 2010-1-6 19:11 22 楼 0 不认识他还来看雪去买.net 加密与解密再来吧
tinychip 雪币： 135 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 191 粉丝 0 关注私信	tinychip 2010-1-7 08:09 23 楼 0 请你说话注意点，你看我打的是什么。是我名字打错了。
zhupf 雪币： 306 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 100 粉丝 0 关注私信	zhupf 2010-1-9 09:40 24 楼 0 问的问题也太郁闷了...还不如自己搞.C#代码不熟就看其他语言代码.连是否混淆了都看不出来你还看C#干嘛.
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复