首页
社区
课程
招聘
[求助]一个很难逆的NET程序
发表于: 2010-2-5 18:04 11188

[求助]一个很难逆的NET程序

2010-2-5 18:04
11188
用PEID查壳显示“Borland Delphi 6.0 - 7.0 [Overlay]".应该是使用某种捆绑软件了。本人水平不高。没有办法向下分析。求高手帮指点一下思路。分析不下去了

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 0
支持
分享
最新回复 (19)
雪    币: 232
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
没说清楚,现在无法用“Reflector”等工具来分析代码。
2010-2-5 18:07
0
雪    币: 232
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
大家说说思路就行了。
2010-2-6 11:08
0
雪    币: 37
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
Reflector是用来分析.net的,能分析Delphi?
2010-2-6 11:47
0
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
标题有问题。。。
2010-2-6 11:57
0
雪    币: 232
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
软件确实是NET的,可能是用了捆绑软件所以查出来的是Delphi。用OD也可以跟,但NET的程序用OD跟实在太难。请高手帮解答
2010-2-6 13:47
0
雪    币: 242
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
这个很明显是.Net Reactor加密的程序,需要先脱去这层壳。手动脱壳,然后修复,这个程序主要是修复MetaData RVA和MetaData Size的值,修正后就可以运行了。脱壳后还会发现程序被Dotfuscator混淆了,需要反混淆,反混淆后基本上能用Reflector看到一部分代码了,剩下的就是读取代码、分析的艰难过程了。附件是我整理后,仅供参考,切勿用于商业用途。
上传的附件:
2010-2-6 23:54
0
雪    币: 40
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
楼上能不能分享一下如何手动脱壳的啊?OD 么?为什么我脱下来,方法的内容都是空的?
2010-2-7 01:09
0
雪    币: 242
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
我手动脱壳也是参考某位大牛的视频教程,具体哪位忘了。用od打开程序,运行起来。打开内存,搜索程序里面的某一个字符串,如作者的qq号码:7175919,注意需要选择unicode方式,在内存中会找到好几个地方。如果这段内存的开头是“MZ”(这是exe文件的固定结构)开头的,那很可能就是.Net Reactor整体解密后的程序,然后把整个内存存为一个exe文件,脱壳完成。这种方法只针对一部分版本的.Net Reactor有效,新版本的不知道行不行,还没试过。
2010-2-7 08:17
0
雪    币: 615
活跃值: (1202)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
10
这种加密手段 现在用的比较多
2010-2-7 08:57
0
雪    币: 296
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
学习了
2010-2-7 09:30
0
雪    币: 100
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
期待高手来
2010-2-7 22:54
0
雪    币: 232
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
好强呀,怎么确定是.Net Reactor的那?能详细说下吗
2010-2-8 08:37
0
雪    币: 232
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
huiyuan 大哥说话呀?拜师可不可以呀我的Q:364097626
2010-2-8 17:00
0
雪    币: 1137
活跃值: (10)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
15
给视频教程的一个链接
http://rongchaua.net/security-mainmenu-28/13-dotnet/109-how-to-unpack-net-reactor-36

.net reactor4.0之后这个方法就行不通了..
2010-2-8 20:54
0
雪    币: 8169
活跃值: (3326)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
这个版本的不是有脱壳机直接脱的么,不用你修复
2010-2-10 14:46
0
雪    币: 242
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
呵呵,脱壳机倒是省事了,有脱壳机的用脱壳机,没有的就手脱,这样就可以了
2010-2-11 14:03
0
雪    币: 243
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
请问你说的那个脱壳机 是 Netunpack么?还是哪个?
2010-3-30 09:49
0
雪    币: 40
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
果然是高手啊。 呵呵。 帮你顶下。

另外,Dephi也有.NET的东西啊 。 只要符合ECMA的框架就可以了。
2010-3-30 10:51
0
雪    币: 216
活跃值: (39)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
不厚道。要收费。。。
2010-4-7 10:18
0
游客
登录 | 注册 方可回帖
返回
//