[求助]帮忙看看.net 加壳,名称混淆,加密字符串,时间限制,还有N多....-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]帮忙看看.net 加壳,名称混淆,加密字符串,时间限制,还有N多....

发表于: 2010-10-15 16:41 37302

[求助]帮忙看看.net 加壳,名称混淆,加密字符串,时间限制,还有N多....

wzysjob

2010-10-15 16:41

37302

用Reflector 看到,名称混淆了, 好像Reflector没有批量重命名的功能,
知道部分函数名,想改回来,如何改?

现在脱了壳,然后不知如何分析了.
帮忙看看.net 加壳,名称混淆,字符加密,还有什么?????????

[ ATTACH ]mchx.jpg [ /ATTACH ]

程序文件下载:
--------------------------------------------------------------------------------------------------------
file.rar

-------------------------------------------------------------------------------------------------------

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

mchx.JPG （19.78kb，654次下载）
file.rar （120.85kb，48次下载）

收藏・4

免费・0

支持

最新回复 (27) 1 2 ▶
wzysjob 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 30 粉丝 0 关注私信	wzysjob 2 楼这是一个用Sixxpack压缩后，再进行名称混淆，因此此时用SixxpackCrack无法脱掉它。用DeObfuscator或DeSmart 将这些不可辨识的字符重命名，但此时运行程序出错，遇到问题需要关闭。加密与解密第三版第九章.net平台加解密，9.4.2上说：把所有的名称删除，程序仍能正常运行，不明白，为什么这些工具改了名后就不能用了？有谁知道的，请指教一下。 2010-10-16 00:18 0
wzysjob 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 30 粉丝 0 关注私信	wzysjob 3 楼它用Sixxpack 压缩后的原来结构猜想应该如下图所示（对比其它用SIXXPACK压缩的结构）：然后再进行了名称混淆，这时要怎样处理？请指导一下处理的思路。！！！？？？？我分别用过用DeObfuscator和DeSmart 将这些不可辨识的字符重命名，但此时运行程序出错，遇到问题需要关闭。在reflector中go to entry point,可以看到它的SIXXPACK的压缩代码，如下： [STAThread] private static void (string[] args) { try { AppDomain.CurrentDomain.AssemblyResolve += new ResolveEventHandler( .myResolveEventHandler); } catch (Exception) { } object[] parameters = new object[] { args }; MemoryStream inStream = new MemoryStream(); Stream stream2 = new FileStream(Application.ExecutablePath.Substring(Application.ExecutablePath.LastIndexOf('\\') + 1), FileMode.Open, FileAccess.Read); stream2.Position = ; byte[] buffer = new byte[stream2.Length - ]; stream2.Read(buffer, 0, Convert.ToInt32(buffer.Length)); inStream.Write(buffer, 0, buffer.Length); inStream.Seek(0L, SeekOrigin.Begin); = new (); Assembly assembly = Assembly.Load(.(inStream)); try { assembly.EntryPoint.Invoke(null, parameters); } catch { assembly.EntryPoint.Invoke(null, null); } } 上传的附件： actmp.JPG （17.31kb，630次下载） 2010-10-16 12:00 0
wzysjob 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 30 粉丝 0 关注私信	wzysjob 4 楼代码中有一些无法显示混乱的字符，上图片： [ ATTACH ] entrypoint.jpg[ /ATTACH ] 上传的附件： entrypoint.jpg （57.83kb，643次下载） 2010-10-16 12:10 0
wzysjob 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 30 粉丝 0 关注私信	wzysjob 5 楼用Filedisassembler 导出出错。 [attach]filedesassembler1.jpg[attach] 上传的附件： filedesassembler1.jpg （36.05kb，638次下载） 2010-10-16 12:38 0
wzysjob 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 30 粉丝 0 关注私信	wzysjob 6 楼不懂.NET 程序, 走了很多弯路,学习了很多知识,有点了解,上面的FILEDISASSEMBLER出错可能是名称混淆引起的,原来SIXXPACK可用通用脱壳来脱,暴汗...... 用NETUnpack脱壳后, 转成IL文件,分析它的字符编码, 用软件字符编解码分析, 但分析不出来,应该是字符加密了, IL 不太懂,名称混淆了,不知如何看是用什么混淆了,应该用VS自带的dotfuscator 混淆的. 类名、方法名、字段名等统统换成非常符号或其它符号，让人看到头晕.出现下面这些情况: IL_0262: call string a$PST06000001(string, int32) 和下面的 private bool ᜂ() { // This item is obfuscated and can not be translated. } 能不能转成传统的程序,用OD分析? 2010-10-19 16:29 0
wzysjob 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 30 粉丝 0 关注私信	wzysjob 7 楼哎,冷冷清清,连个灌水的人都没有!!!!!!!!!!! 哎,冷冷清清,连个灌水的人都没有!!!!!!!!!!! 哎,冷冷清清,连个灌水的人都没有!!!!!!!!!!! 哎,冷冷清清,连个灌水的人都没有!!!!!!!!!!! 哎,冷冷清清,连个灌水的人都没有!!!!!!!!!!! 哎,冷冷清清,连个灌水的人都没有!!!!!!!!!!! 哎,冷冷清清,连个灌水的人都没有!!!!!!!!!!! 哎,冷冷清清,连个灌水的人都没有!!!!!!!!!!! 哎,冷冷清清,连个灌水的人都没有!!!!!!!!!!! 哎,冷冷清清,连个灌水的人都没有!!!!!!!!!!! 哎,冷冷清清,连个灌水的人都没有!!!!!!!!!!! 2010-10-25 15:37 0
窜客雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 18 粉丝 0 关注私信	窜客 8 楼新的技术，我不清楚！帮顶下下！ 2010-12-9 09:33 0
hackqf 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 133 粉丝 0 关注私信	hackqf 9 楼等高手回复！ 2010-12-10 10:06 0
needy 雪币： 211 活跃值： (52) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	needy 10 楼 C#加密才接触，不太懂！ 2011-1-8 22:09 0
crackdung 雪币： 504 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 1450 粉丝 1 关注私信	crackdung 11 楼重新編譯的意義不大，直接用插件修改IL碼能增加簡單功能。 2011-2-17 17:39 0
残梦飘雪雪币： 278 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 195 粉丝 0 关注私信	残梦飘雪 12 楼我也遇到上面通用的问题了 80%的代码显示 This item is obfuscated and can not be translated 不过不清楚我一个朋友怎么做的剩余2%不正常其它的显示都正常了。不幸的是,解密的那个函数上半部分显示这个英文，崩溃 2011-2-22 03:14 0
残梦飘雪雪币： 278 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 195 粉丝 0 关注私信	残梦飘雪 13 楼后来发现直接用 .net 通用脱壳机脱就可以了 2011-3-7 05:22 0
IFk 雪币： 152 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	IFk 14 楼 .NET 程序破解最好是学一下 IL 了解了 IL 结构对于流程混淆，名字混淆就基本可以无视了，直接找关键代码用 IL 改过来...当然,你不可能真的无视掉混淆... 只是工作量会比较小分析还是比较快的.. 2011-3-10 16:30 0
crackdung 雪币： 504 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 1450 粉丝 1 关注私信	crackdung 15 楼 .net 通用脱壳机脱幾乎不可能了，這個已經很多沒效了。還是靠手工吧+修復吧，至少我這樣做的 2011-3-11 07:33 0
lhuser 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 20 粉丝 0 关注私信	lhuser 16 楼版主，你说的是哪个插件？ 2011-3-29 22:23 0
Interkey 雪币： 442 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 42 粉丝 0 关注私信	Interkey 17 楼外面是sixxpackv24的壳，然后里面文件被Dotfuscator 12345:1:2:4.2.5000.27554混淆过… 2013-12-17 11:20 0
Interkey 雪币： 442 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 42 粉丝 0 关注私信	Interkey 18 楼查看附件~ 上传的附件： 20131217112207.png （91.06kb，13次下载） DocUp.zip （117.36kb，8次下载） 2013-12-17 11:24 0
Interkey 雪币： 442 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 42 粉丝 0 关注私信	Interkey 19 楼 2010年的帖子 2013-12-17 11:26 0
lhuser 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 20 粉丝 0 关注私信	lhuser 20 楼高手~~ 2014-5-5 21:14 0
speedboy 雪币： 8876 活跃值： (3108) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 436 粉丝 0 关注私信	speedboy 21 楼被Dotfuscator 12345:1:2:4.2.5000.27554混淆后如何脱？ 2015-3-21 22:11 0
Interkey 雪币： 442 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 42 粉丝 0 关注私信	Interkey 22 楼 de4dot即可 2015-3-21 22:12 0
speedboy 雪币： 8876 活跃值： (3108) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 436 粉丝 0 关注私信	speedboy 23 楼试了，脱不掉 2015-3-25 11:11 0
speedboy 雪币： 8876 活跃值： (3108) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 436 粉丝 0 关注私信	speedboy 24 楼看看这个dotnet程序，表面上是Dotfuscator 12345:1:2:4.2.5000.27554 混淆的，但用de4dot脱后用.NET Reflector查看，仍不行软件地址：http://yunpan.cn/Oc3VEg22QaKTTk （提取码：3a32） 2015-12-1 14:33 0
Interkey 雪币： 442 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 42 粉丝 0 关注私信	Interkey 25 楼 de4dot不更新了，对此不管用了。。。 2015-12-1 21:15 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

wzysjob

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (27) 1 2 ▶
wzysjob 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 30 粉丝 0 关注私信	wzysjob 2 楼这是一个用Sixxpack压缩后，再进行名称混淆，因此此时用SixxpackCrack无法脱掉它。用DeObfuscator或DeSmart 将这些不可辨识的字符重命名，但此时运行程序出错，遇到问题需要关闭。加密与解密第三版第九章.net平台加解密，9.4.2上说：把所有的名称删除，程序仍能正常运行，不明白，为什么这些工具改了名后就不能用了？有谁知道的，请指教一下。 2010-10-16 00:18 0
wzysjob 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 30 粉丝 0 关注私信	wzysjob 3 楼它用Sixxpack 压缩后的原来结构猜想应该如下图所示（对比其它用SIXXPACK压缩的结构）：然后再进行了名称混淆，这时要怎样处理？请指导一下处理的思路。！！！？？？？我分别用过用DeObfuscator和DeSmart 将这些不可辨识的字符重命名，但此时运行程序出错，遇到问题需要关闭。在reflector中go to entry point,可以看到它的SIXXPACK的压缩代码，如下： [STAThread] private static void (string[] args) { try { AppDomain.CurrentDomain.AssemblyResolve += new ResolveEventHandler( .myResolveEventHandler); } catch (Exception) { } object[] parameters = new object[] { args }; MemoryStream inStream = new MemoryStream(); Stream stream2 = new FileStream(Application.ExecutablePath.Substring(Application.ExecutablePath.LastIndexOf('\\') + 1), FileMode.Open, FileAccess.Read); stream2.Position = ; byte[] buffer = new byte[stream2.Length - ]; stream2.Read(buffer, 0, Convert.ToInt32(buffer.Length)); inStream.Write(buffer, 0, buffer.Length); inStream.Seek(0L, SeekOrigin.Begin); = new (); Assembly assembly = Assembly.Load(.(inStream)); try { assembly.EntryPoint.Invoke(null, parameters); } catch { assembly.EntryPoint.Invoke(null, null); } } 上传的附件： actmp.JPG （17.31kb，630次下载） 2010-10-16 12:00 0
wzysjob 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 30 粉丝 0 关注私信	wzysjob 4 楼代码中有一些无法显示混乱的字符，上图片： [ ATTACH ] entrypoint.jpg[ /ATTACH ] 上传的附件： entrypoint.jpg （57.83kb，643次下载） 2010-10-16 12:10 0
wzysjob 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 30 粉丝 0 关注私信	wzysjob 5 楼用Filedisassembler 导出出错。 [attach]filedesassembler1.jpg[attach] 上传的附件： filedesassembler1.jpg （36.05kb，638次下载） 2010-10-16 12:38 0
wzysjob 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 30 粉丝 0 关注私信	wzysjob 6 楼不懂.NET 程序, 走了很多弯路,学习了很多知识,有点了解,上面的FILEDISASSEMBLER出错可能是名称混淆引起的,原来SIXXPACK可用通用脱壳来脱,暴汗...... 用NETUnpack脱壳后, 转成IL文件,分析它的字符编码, 用软件字符编解码分析, 但分析不出来,应该是字符加密了, IL 不太懂,名称混淆了,不知如何看是用什么混淆了,应该用VS自带的dotfuscator 混淆的. 类名、方法名、字段名等统统换成非常符号或其它符号，让人看到头晕.出现下面这些情况: IL_0262: call string a$PST06000001(string, int32) 和下面的 private bool ᜂ() { // This item is obfuscated and can not be translated. } 能不能转成传统的程序,用OD分析? 2010-10-19 16:29 0
wzysjob 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 30 粉丝 0 关注私信	wzysjob 7 楼哎,冷冷清清,连个灌水的人都没有!!!!!!!!!!! 哎,冷冷清清,连个灌水的人都没有!!!!!!!!!!! 哎,冷冷清清,连个灌水的人都没有!!!!!!!!!!! 哎,冷冷清清,连个灌水的人都没有!!!!!!!!!!! 哎,冷冷清清,连个灌水的人都没有!!!!!!!!!!! 哎,冷冷清清,连个灌水的人都没有!!!!!!!!!!! 哎,冷冷清清,连个灌水的人都没有!!!!!!!!!!! 哎,冷冷清清,连个灌水的人都没有!!!!!!!!!!! 哎,冷冷清清,连个灌水的人都没有!!!!!!!!!!! 哎,冷冷清清,连个灌水的人都没有!!!!!!!!!!! 哎,冷冷清清,连个灌水的人都没有!!!!!!!!!!! 2010-10-25 15:37 0
窜客雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 18 粉丝 0 关注私信	窜客 8 楼新的技术，我不清楚！帮顶下下！ 2010-12-9 09:33 0
hackqf 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 133 粉丝 0 关注私信	hackqf 9 楼等高手回复！ 2010-12-10 10:06 0
needy 雪币： 211 活跃值： (52) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	needy 10 楼 C#加密才接触，不太懂！ 2011-1-8 22:09 0
crackdung 雪币： 504 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 1450 粉丝 1 关注私信	crackdung 11 楼重新編譯的意義不大，直接用插件修改IL碼能增加簡單功能。 2011-2-17 17:39 0
残梦飘雪雪币： 278 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 195 粉丝 0 关注私信	残梦飘雪 12 楼我也遇到上面通用的问题了 80%的代码显示 This item is obfuscated and can not be translated 不过不清楚我一个朋友怎么做的剩余2%不正常其它的显示都正常了。不幸的是,解密的那个函数上半部分显示这个英文，崩溃 2011-2-22 03:14 0
残梦飘雪雪币： 278 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 195 粉丝 0 关注私信	残梦飘雪 13 楼后来发现直接用 .net 通用脱壳机脱就可以了 2011-3-7 05:22 0
IFk 雪币： 152 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	IFk 14 楼 .NET 程序破解最好是学一下 IL 了解了 IL 结构对于流程混淆，名字混淆就基本可以无视了，直接找关键代码用 IL 改过来...当然,你不可能真的无视掉混淆... 只是工作量会比较小分析还是比较快的.. 2011-3-10 16:30 0
crackdung 雪币： 504 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 1450 粉丝 1 关注私信	crackdung 15 楼 .net 通用脱壳机脱幾乎不可能了，這個已經很多沒效了。還是靠手工吧+修復吧，至少我這樣做的 2011-3-11 07:33 0
lhuser 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 20 粉丝 0 关注私信	lhuser 16 楼版主，你说的是哪个插件？ 2011-3-29 22:23 0
Interkey 雪币： 442 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 42 粉丝 0 关注私信	Interkey 17 楼外面是sixxpackv24的壳，然后里面文件被Dotfuscator 12345:1:2:4.2.5000.27554混淆过… 2013-12-17 11:20 0
Interkey 雪币： 442 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 42 粉丝 0 关注私信	Interkey 18 楼查看附件~ 上传的附件： 20131217112207.png （91.06kb，13次下载） DocUp.zip （117.36kb，8次下载） 2013-12-17 11:24 0
Interkey 雪币： 442 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 42 粉丝 0 关注私信	Interkey 19 楼 2010年的帖子 2013-12-17 11:26 0
lhuser 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 20 粉丝 0 关注私信	lhuser 20 楼高手~~ 2014-5-5 21:14 0
speedboy 雪币： 8876 活跃值： (3108) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 436 粉丝 0 关注私信	speedboy 21 楼被Dotfuscator 12345:1:2:4.2.5000.27554混淆后如何脱？ 2015-3-21 22:11 0
Interkey 雪币： 442 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 42 粉丝 0 关注私信	Interkey 22 楼 de4dot即可 2015-3-21 22:12 0
speedboy 雪币： 8876 活跃值： (3108) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 436 粉丝 0 关注私信	speedboy 23 楼试了，脱不掉 2015-3-25 11:11 0
speedboy 雪币： 8876 活跃值： (3108) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 436 粉丝 0 关注私信	speedboy 24 楼看看这个dotnet程序，表面上是Dotfuscator 12345:1:2:4.2.5000.27554 混淆的，但用de4dot脱后用.NET Reflector查看，仍不行软件地址：http://yunpan.cn/Oc3VEg22QaKTTk （提取码：3a32） 2015-12-1 14:33 0
Interkey 雪币： 442 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 42 粉丝 0 关注私信	Interkey 25 楼 de4dot不更新了，对此不管用了。。。 2015-12-1 21:15 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复