能力值:
( LV2,RANK:10 )
|
-
-
2 楼
没说清楚,现在无法用“Reflector”等工具来分析代码。
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
大家说说思路就行了。
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
Reflector是用来分析.net的,能分析Delphi?
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
标题有问题。。。
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
软件确实是NET的,可能是用了捆绑软件所以查出来的是Delphi。用OD也可以跟,但NET的程序用OD跟实在太难。请高手帮解答
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
这个很明显是.Net Reactor加密的程序,需要先脱去这层壳。手动脱壳,然后修复,这个程序主要是修复MetaData RVA和MetaData Size的值,修正后就可以运行了。脱壳后还会发现程序被Dotfuscator混淆了,需要反混淆,反混淆后基本上能用Reflector看到一部分代码了,剩下的就是读取代码、分析的艰难过程了。附件是我整理后,仅供参考,切勿用于商业用途。
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
楼上能不能分享一下如何手动脱壳的啊?OD 么?为什么我脱下来,方法的内容都是空的?
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
我手动脱壳也是参考某位大牛的视频教程,具体哪位忘了。用od打开程序,运行起来。打开内存,搜索程序里面的某一个字符串,如作者的qq号码:7175919,注意需要选择unicode方式,在内存中会找到好几个地方。如果这段内存的开头是“MZ”(这是exe文件的固定结构)开头的,那很可能就是.Net Reactor整体解密后的程序,然后把整个内存存为一个exe文件,脱壳完成。这种方法只针对一部分版本的.Net Reactor有效,新版本的不知道行不行,还没试过。
|
能力值:
( LV4,RANK:50 )
|
-
-
10 楼
这种加密手段 现在用的比较多
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
学习了
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
期待高手来
|
能力值:
( LV2,RANK:10 )
|
-
-
13 楼
好强呀,怎么确定是.Net Reactor的那?能详细说下吗
|
能力值:
( LV2,RANK:10 )
|
-
-
14 楼
huiyuan 大哥说话呀?拜师可不可以呀我的Q:364097626
|
能力值:
( LV7,RANK:100 )
|
-
-
15 楼
|
能力值:
( LV2,RANK:10 )
|
-
-
16 楼
这个版本的不是有脱壳机直接脱的么,不用你修复
|
能力值:
( LV2,RANK:10 )
|
-
-
17 楼
呵呵,脱壳机倒是省事了,有脱壳机的用脱壳机,没有的就手脱,这样就可以了
|
能力值:
( LV2,RANK:10 )
|
-
-
18 楼
请问你说的那个脱壳机 是 Netunpack么?还是哪个?
|
能力值:
( LV2,RANK:10 )
|
-
-
19 楼
果然是高手啊。 呵呵。 帮你顶下。
另外,Dephi也有.NET的东西啊 。 只要符合ECMA的框架就可以了。
|
能力值:
( LV2,RANK:10 )
|
-
-
20 楼
不厚道。要收费。。。
|
|
|