[求助]一个很难逆的NET程序-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]一个很难逆的NET程序

发表于: 2010-2-5 18:04 11185

[求助]一个很难逆的NET程序

flflw

2010-2-5 18:04

11185

用PEID查壳显示“Borland Delphi 6.0 - 7.0 [Overlay]".应该是使用某种捆绑软件了。本人水平不高。没有办法向下分析。求高手帮指点一下思路。

分析不下去了

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#.NET平台

上传的附件：

50sg(1027).rar （910.81kb，76次下载）

收藏・1

免费・0

支持

最新回复 (19)
flflw 雪币： 232 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 95 粉丝 0 关注私信	flflw 2 楼没说清楚，现在无法用“Reflector”等工具来分析代码。 2010-2-5 18:07 0
flflw 雪币： 232 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 95 粉丝 0 关注私信	flflw 3 楼大家说说思路就行了。 2010-2-6 11:08 0
yangyy 雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 50 粉丝 0 关注私信	yangyy 4 楼 Reflector是用来分析.net的，能分析Delphi? 2010-2-6 11:47 0
dotnetcrk 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 45 粉丝 0 关注私信	dotnetcrk 5 楼标题有问题。。。 2010-2-6 11:57 0
flflw 雪币： 232 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 95 粉丝 0 关注私信	flflw 6 楼软件确实是NET的，可能是用了捆绑软件所以查出来的是Delphi。用OD也可以跟，但NET的程序用OD跟实在太难。请高手帮解答 2010-2-6 13:47 0
huiyuan 雪币： 242 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 60 粉丝 0 关注私信	huiyuan 7 楼这个很明显是.Net Reactor加密的程序，需要先脱去这层壳。手动脱壳，然后修复，这个程序主要是修复MetaData RVA和MetaData Size的值，修正后就可以运行了。脱壳后还会发现程序被Dotfuscator混淆了，需要反混淆，反混淆后基本上能用Reflector看到一部分代码了，剩下的就是读取代码、分析的艰难过程了。附件是我整理后，仅供参考，切勿用于商业用途。上传的附件： 50sg脱壳.rar （122.12kb，55次下载） 2010-2-6 23:54 0
DONET 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 38 粉丝 0 关注私信	DONET 8 楼楼上能不能分享一下如何手动脱壳的啊？OD 么？为什么我脱下来，方法的内容都是空的？ 2010-2-7 01:09 0
huiyuan 雪币： 242 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 60 粉丝 0 关注私信	huiyuan 9 楼我手动脱壳也是参考某位大牛的视频教程，具体哪位忘了。用od打开程序，运行起来。打开内存，搜索程序里面的某一个字符串，如作者的qq号码：7175919，注意需要选择unicode方式，在内存中会找到好几个地方。如果这段内存的开头是“ＭＺ”(这是ｅｘｅ文件的固定结构)开头的，那很可能就是.Net Reactor整体解密后的程序，然后把整个内存存为一个ｅｘｅ文件，脱壳完成。这种方法只针对一部分版本的.Net Reactor有效，新版本的不知道行不行，还没试过。 2010-2-7 08:17 0
xzchina 雪币： 615 活跃值： (1202) 能力值： ( LV4，RANK：50 ) 在线值：发帖 42 回帖 843 粉丝 0 关注私信	xzchina 1 10 楼这种加密手段现在用的比较多 2010-2-7 08:57 0
XiaosanAiq 雪币： 296 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 180 粉丝 0 关注私信	XiaosanAiq 11 楼学习了 2010-2-7 09:30 0
lang 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 20 粉丝 0 关注私信	lang 12 楼期待高手来 2010-2-7 22:54 0
flflw 雪币： 232 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 95 粉丝 0 关注私信	flflw 13 楼好强呀，怎么确定是.Net Reactor的那？能详细说下吗 2010-2-8 08:37 0
flflw 雪币： 232 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 95 粉丝 0 关注私信	flflw 14 楼 huiyuan 大哥说话呀？拜师可不可以呀我的Q：364097626 2010-2-8 17:00 0
dreamzgj 雪币： 1137 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 24 回帖 412 粉丝 0 关注私信	dreamzgj 2 15 楼给视频教程的一个链接 http://rongchaua.net/security-mainmenu-28/13-dotnet/109-how-to-unpack-net-reactor-36 .net reactor4.0之后这个方法就行不通了.. 2010-2-8 20:54 0
logkiller 雪币： 8159 活跃值： (3321) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 777 粉丝 1 关注私信	logkiller 16 楼这个版本的不是有脱壳机直接脱的么，不用你修复 2010-2-10 14:46 0
huiyuan 雪币： 242 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 60 粉丝 0 关注私信	huiyuan 17 楼呵呵，脱壳机倒是省事了，有脱壳机的用脱壳机，没有的就手脱，这样就可以了 2010-2-11 14:03 0
boycott 雪币： 243 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 32 粉丝 0 关注私信	boycott 18 楼请问你说的那个脱壳机是 Netunpack么？还是哪个？ 2010-3-30 09:49 0
dotNetSafe 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 134 粉丝 0 关注私信	dotNetSafe 19 楼果然是高手啊。呵呵。帮你顶下。另外，Dephi也有.NET的东西啊。只要符合ECMA的框架就可以了。 2010-3-30 10:51 0
scriptkit 雪币： 216 活跃值： (39) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 46 粉丝 0 关注私信	scriptkit 20 楼不厚道。要收费。。。 2010-4-7 10:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

flflw

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
flflw 雪币： 232 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 95 粉丝 0 关注私信	flflw 2 楼没说清楚，现在无法用“Reflector”等工具来分析代码。 2010-2-5 18:07 0
flflw 雪币： 232 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 95 粉丝 0 关注私信	flflw 3 楼大家说说思路就行了。 2010-2-6 11:08 0
yangyy 雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 50 粉丝 0 关注私信	yangyy 4 楼 Reflector是用来分析.net的，能分析Delphi? 2010-2-6 11:47 0
dotnetcrk 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 45 粉丝 0 关注私信	dotnetcrk 5 楼标题有问题。。。 2010-2-6 11:57 0
flflw 雪币： 232 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 95 粉丝 0 关注私信	flflw 6 楼软件确实是NET的，可能是用了捆绑软件所以查出来的是Delphi。用OD也可以跟，但NET的程序用OD跟实在太难。请高手帮解答 2010-2-6 13:47 0
huiyuan 雪币： 242 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 60 粉丝 0 关注私信	huiyuan 7 楼这个很明显是.Net Reactor加密的程序，需要先脱去这层壳。手动脱壳，然后修复，这个程序主要是修复MetaData RVA和MetaData Size的值，修正后就可以运行了。脱壳后还会发现程序被Dotfuscator混淆了，需要反混淆，反混淆后基本上能用Reflector看到一部分代码了，剩下的就是读取代码、分析的艰难过程了。附件是我整理后，仅供参考，切勿用于商业用途。上传的附件： 50sg脱壳.rar （122.12kb，55次下载） 2010-2-6 23:54 0
DONET 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 38 粉丝 0 关注私信	DONET 8 楼楼上能不能分享一下如何手动脱壳的啊？OD 么？为什么我脱下来，方法的内容都是空的？ 2010-2-7 01:09 0
huiyuan 雪币： 242 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 60 粉丝 0 关注私信	huiyuan 9 楼我手动脱壳也是参考某位大牛的视频教程，具体哪位忘了。用od打开程序，运行起来。打开内存，搜索程序里面的某一个字符串，如作者的qq号码：7175919，注意需要选择unicode方式，在内存中会找到好几个地方。如果这段内存的开头是“ＭＺ”(这是ｅｘｅ文件的固定结构)开头的，那很可能就是.Net Reactor整体解密后的程序，然后把整个内存存为一个ｅｘｅ文件，脱壳完成。这种方法只针对一部分版本的.Net Reactor有效，新版本的不知道行不行，还没试过。 2010-2-7 08:17 0
xzchina 雪币： 615 活跃值： (1202) 能力值： ( LV4，RANK：50 ) 在线值：发帖 42 回帖 843 粉丝 0 关注私信	xzchina 1 10 楼这种加密手段现在用的比较多 2010-2-7 08:57 0
XiaosanAiq 雪币： 296 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 180 粉丝 0 关注私信	XiaosanAiq 11 楼学习了 2010-2-7 09:30 0
lang 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 20 粉丝 0 关注私信	lang 12 楼期待高手来 2010-2-7 22:54 0
flflw 雪币： 232 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 95 粉丝 0 关注私信	flflw 13 楼好强呀，怎么确定是.Net Reactor的那？能详细说下吗 2010-2-8 08:37 0
flflw 雪币： 232 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 95 粉丝 0 关注私信	flflw 14 楼 huiyuan 大哥说话呀？拜师可不可以呀我的Q：364097626 2010-2-8 17:00 0
dreamzgj 雪币： 1137 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 24 回帖 412 粉丝 0 关注私信	dreamzgj 2 15 楼给视频教程的一个链接 http://rongchaua.net/security-mainmenu-28/13-dotnet/109-how-to-unpack-net-reactor-36 .net reactor4.0之后这个方法就行不通了.. 2010-2-8 20:54 0
logkiller 雪币： 8159 活跃值： (3321) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 777 粉丝 1 关注私信	logkiller 16 楼这个版本的不是有脱壳机直接脱的么，不用你修复 2010-2-10 14:46 0
huiyuan 雪币： 242 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 60 粉丝 0 关注私信	huiyuan 17 楼呵呵，脱壳机倒是省事了，有脱壳机的用脱壳机，没有的就手脱，这样就可以了 2010-2-11 14:03 0
boycott 雪币： 243 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 32 粉丝 0 关注私信	boycott 18 楼请问你说的那个脱壳机是 Netunpack么？还是哪个？ 2010-3-30 09:49 0
dotNetSafe 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 134 粉丝 0 关注私信	dotNetSafe 19 楼果然是高手啊。呵呵。帮你顶下。另外，Dephi也有.NET的东西啊。只要符合ECMA的框架就可以了。 2010-3-30 10:51 0
scriptkit 雪币： 216 活跃值： (39) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 46 粉丝 0 关注私信	scriptkit 20 楼不厚道。要收费。。。 2010-4-7 10:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复