首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
[求助]学习脱壳一个.net程序,寻求精通高手老师指点,谢谢。
发表于: 2011-9-17 07:51 46710

[求助]学习脱壳一个.net程序,寻求精通高手老师指点,谢谢。

liffeng 活跃值
2011-9-17 07:51
46710
拿到一个小程序,软件运行需要.net 2.0 运行环境,所以一定是.net编写的。
文件大小:573k
上传原文件名:helper.rar      Helper原版.rar
1、先使用Reflector尝试打开,提示错误。

2、使用hildasm打开,出现错误。

3、一定是有加壳混淆。上软件DotNet Id检测壳, ,显示是".net Reactor"的壳,然后使用Dotnet_Dumper进行脱壳。脱壳比较顺利。
4、得到Helper脱壳1.exe,脱壳后显示440K,可以运行,运行速度加快了。
5、然后使用Reflector尝试打开仍然显示同样信息,使用HilDASM可以打开,但是显示仍有加密。

6、再上DotNet Id,,显示有MAXTOCODE加密,然后使用RE-max 3.4 进行脱壳,分别使用 MAXtocode 3.5\3.4\ 3.2的多个版本的runtime库,分别进行测试,发现都显示一下错误信息:


7、然后生成了一个半成品的文件,文件运行时会发生错误异常。

据此,.net程序的脱壳遇到了麻烦,停止了,希望精通脱壳.net程序的高手老师给予指导。文件附近已经上传了,不知道还需要哪里进行下一步操作。
谢谢了。另外完全不会脱壳.net的的学员可以跟着一块学习,算是初学者了。

[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法

上传的附件:
收藏
免费 0
支持
分享
最新回复 (61)
crackdung
雪    币: 504
活跃值: (10)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
2
不是maxtocode

上传的附件:
2011-9-17 08:07
0
liffeng
雪    币: 226
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
请crackdung老师给予提示:
1、我的第一步脱壳是否是正确的?
2、另外,除了DotNet Id以外,是否还有其他的检测壳或是检测加壳软件版本的工具?
3、能否将脱壳后的文件发送到我的邮箱 lifffeng@163.com
4、希望斑竹能开一个研究.net加壳脱壳的研究分组,这类的学习资料太少了。

再次感谢,向老师学习。
2011-9-17 09:32
0
liffeng
雪    币: 226
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
刚才升级了一下最新版的reflector的版本读出来了。
不过这个软件发编译没有中文
2011-9-17 12:27
0
xie风腾
雪    币: 12045
活跃值: (4763)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5

下载一个,看看能不能搞定
2011-9-17 12:31
0
xie风腾
雪    币: 12045
活跃值: (4763)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6

看了一下,搞不定
等大牛出来吧
2011-9-17 14:11
0
liffeng
雪    币: 226
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
crackdung老师能否研究一下这个软件的加密方式,我监控了该软件读取注册表,但是没有跟踪出来,但是软件能在新电脑上试用一段时间,然后就不能使用了,必须输入注册码才能试用,注册码可以带到期时间或是永久正式版使用.

但是我不管是调试和监控都没有新的发现,连去除试用一段时间的位置都没有发现,不知道是注册表里做标记还是在文件做标记
2011-9-17 21:30
0
xie风腾
雪    币: 12045
活跃值: (4763)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8

里面代码好像变了
2011-9-19 08:32
0
crackdung
雪    币: 504
活跃值: (10)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
9
在某個地方設置為長期就可以了
2011-9-19 10:46
0
fanbaol
雪    币: 213
活跃值: (20)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
[QUOTE=crackdung;1001015]不是maxtocode

[

老师,我dump后用reflector怎么看不到代码,你是怎么看到的。
2011-9-19 13:59
0
crackdung
雪    币: 504
活跃值: (10)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
11
[QUOTE=fanbaol;1001713][QUOTE=crackdung;1001015]不是maxtocode

[

老师,我dump后用reflector怎么看不到代码,你是怎么看到的。[/QUOTE]

抱歉,我是手工轉存il的

上传的附件:
2011-9-19 15:08
0
xie风腾
雪    币: 12045
活跃值: (4763)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
12

原来是汉字变成了U码
2011-9-19 16:00
0
fanbaol
雪    币: 213
活跃值: (20)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
13
[QUOTE=crackdung;1001735][QUOTE=fanbaol;1001713]

抱歉,我是手工轉存il的

[/QUOTE]

怎样转存的,能否交流下。mguser@126.com
谢谢。
2011-9-19 17:06
0
liffeng
雪    币: 226
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
14
使用工具脱壳后,很多源码是看不到的,包括这个信息。
总之看来最主要的还是先脱壳,但是脱壳不能使用工具,要手动脱壳手工轉存il,这点就把大多数人难住了。

crackdung老师,能否再麻烦一下,将脱壳转il后的程序发一下给大家,谢谢。
2011-9-21 18:05
0
xie风腾
雪    币: 12045
活跃值: (4763)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
15

不行,还是找不到关键
那位大大出个教材
2011-9-22 15:43
0
crackdung
雪    币: 504
活跃值: (10)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
16
我不共享在這裡,,對不起
2011-9-24 08:40
0
liffeng
雪    币: 226
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
17
老师,那能否发到我的邮箱 lifffeng@163.com
仅学习之用。因为我用脱壳软件脱的壳无法使用Reflector71,而重要的程序都无法反编译。
2011-9-24 12:46
0
chenxiaolu
雪    币: 122
活跃值: (42)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
私信
18


报病毒,且无法运行
上传的附件:
  • 1.jpg (36.14kb,236次下载)
  • 2.jpg (23.93kb,237次下载)
2011-9-25 00:30
0
chenxiaolu
雪    币: 122
活跃值: (42)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
私信
19
我重新从网上下载一个。

脱完壳后用Reactor_Decryptor修复一下。

继续找




破解后的程序我不会提供的,自己试一试~
上传的附件:
  • 0.jpg (230.08kb,247次下载)
  • 1.jpg (76.69kb,242次下载)
2011-9-25 01:42
0
liffeng
雪    币: 226
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
20
[QUOTE=chenxiaolu;1003509]我重新从网上下载一个。

脱完壳后用Reactor_Decryptor修复一下。

继续找




破解后的程序我不会提供的,自己试一试~[/QUOTE]

多谢,我自己再学习一下。
2011-9-25 07:26
0
liffeng
雪    币: 226
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
21
首先感谢chenxiaolu老师的关于Reactor_Decryptor修复的帮助,该软件确实将脱壳后的程序进行了修复,修复了95%的错误,使用.net reflector 7 打开顺利,可以看到内部很多源程序。

关于加密点我也找到了,请看图:


不过再想请问老师,如果修改程序呢?

1、要么反编译整个程序,再使用编程软件重新编译,这点我反编译过程中,仍然遇到了5处错误,这5处错误一定会让重新编译程序时发生错误而无法生产最终的程序。
2、直接修改程序,不过我找了很多方法,而reflector 7只能反编译程序看看,但是无法直接修改。

请教一下,如何修改reflector 7可以看到的程序?
谢谢。
上传的附件:
2011-9-25 08:53
0
liffeng
雪    币: 226
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
22
Helper是需要安装.net 运行库2.0软件的。绝对无病毒。
而Reflector最新版如果想加入很多插件的话,必须安装.net运行库2.0 3.5 4.0。
不过这个程序没有解密过,只有等老师详解一下如果修改Reflector7可以反编译的程序了。

以上信息仅供交流,相当于在一个图文脱壳修改程序的一个简单教程而已,希望各位老师可以不拘小节,多提供一些方法,仅供学习之用。

在这里,大家的目的并不是解密这个程序,而是希望以该例子为联系,学习一下简单情况下,一个net加壳程序如果被脱壳,如果反编译,如果修改程序,让更多的初学者能学习到更多的知识。

授人以渔比授人以鱼更好,希望各位老师本着提醒和帮助的原则,大家探讨net的加壳脱壳技术以及修改的技术。
2011-9-25 10:31
0
chenxiaolu
雪    币: 122
活跃值: (42)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
私信
23
可以直接使用UltraEdit修改PE文件。
先用ILDASM 显示字节,获得IL代码的16进制。然后用UE查找这个16进制串,最后可以根据微软对IL代码的16进制定义进行修改
http://msdn.microsoft.com/zh-cn/library/812xyxy2.aspx点击进入具体的某个OpCode,比如ADD,那么其对应的16进制就是58


详细步骤可以参考《微软.net程序的加密与解密》第79页。
上传的附件:
  • 1.jpg (57.63kb,233次下载)
2011-9-25 10:49
0
chenxiaolu
雪    币: 122
活跃值: (42)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
私信
24
貌似你截图中的代码和我最上面帖子中的截图中的代码是一样的,你还需要自己再找一遍吗?
我觉得楼主挺可爱的。听说昨天在群里吼了半天也没人理你......
我也不清楚为什么大家这么缺乏共享精神呢,我也好多也不懂,只能靠工具,唉......
2011-9-25 10:51
0
liffeng
雪    币: 226
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
25
其实大家的态度也无可非议,目前.net程序的加壳脱壳研究是新的东西,而学者分两类,一类是比较精通的,一类的超级初学者。学的精通的,必然人高一等,加上网上也很少这类的教学,所以自成一派,高傲自居;另外一类,则超级菜鸟,只能通过不断学习慢慢提高,但是没有高人指点,确实很慢。

要想真的让脱壳加壳论坛兴旺,就必须有一个或是二个精通的老师来发一篇图文并茂的教学文章,这样就会打破这种僵局,自然老师的名声也会大造一时。

其实的那个加壳脱壳群有些牵强,高手不愿意理初学者,而初学者又得不到学习,仅仅是一些熟悉的几个网友聊家常了,失去了作用。
2011-9-25 11:31
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//