[求助]一个无法脱掉的.net reactor 4.8的壳-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[求助]一个无法脱掉的.net reactor 4.8的壳

发表于: 2017-3-3 23:15 12900

[求助]一个无法脱掉的.net reactor 4.8的壳

qiucx

2017-3-3 23:15

12900

1. http://bbs.pediy.com/thread-214527.htm 尝试了里面的所有de4dot版本和参数

2. 尝试了de4dot by IvancitoOz、de4dot-mod-reactor 4.9和de4dot-mod-by-WANGSH版本，都无法脱掉

D:\hhhhack\de4dot\de4dotbyyanhuo>de4dot.exe a.exe --keep-names nt

Latest version and source code: https://github.com/0xd4d/de4dot

Detected .NET Reactor 4.8 (D:\hhhhack\de4dot\de4dotbyyanhuo\a.exe)

Cleaning D:\hhhhack\de4dot\de4dotbyyanhuo\a.exe

ERROR:

ERROR: Hmmmm... something didn't work. Try the latest version.

请教高手。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

a.exe （727.00kb，22次下载）

收藏・1

免费・0

支持

最新回复 (16)
qiucx 雪币： 222 活跃值： (88) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 32 粉丝 1 关注私信	qiucx 2 楼另外，如果烟火（yinhuo）兄弟能看到，能否友情发送你的 de4dot by烟火版本给我，邮箱 4586881@qq.com 在一个视频中，看到过大侠的de4dot，神奇。先感谢！ 2017-3-3 23:18 0
淡淡幽香雪币： 102 活跃值： (149) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 64 粉丝 0 关注私信	淡淡幽香 3 楼 qiucx 另外，如果烟火（yanhuo）兄弟能看到，能否友情发送你的 de4dot by烟火版本给我，邮箱 4586881@qq.com 在一个视频中，看到过大侠的de4dot，神奇。先感谢！我也是遇到你的问题，最新版的 de4dot解决不了，貌似需要先 dump+cef+ase修复就行可了，但是我尝试了不行，我看到的一个国外的手动脱壳教程 https://forum.tuts4you.com/topic/36587-crackmenet-reactor-modded/ 2017-3-5 11:02 0
pxhb 雪币： 6535 活跃值： (4491) 能力值： ( LV7，RANK：110 ) 在线值：发帖 10 回帖 421 粉丝 20 关注私信	pxhb 2 4 楼这个应该可以了上传的附件： a_decrypted.exe （550.00kb，244次下载） 2017-3-5 11:25 1
淡淡幽香雪币： 102 活跃值： (149) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 64 粉丝 0 关注私信	淡淡幽香 5 楼 pxhb 这个应该可以了大神，问一下，能透漏一下，你这个是怎么脱得吗？给指点一下可以吗？ 2017-3-5 17:25 0
bambooqj 雪币： 783 活跃值： (1121) 能力值： ( LV5，RANK：78 ) 在线值：发帖 34 回帖 365 粉丝 39 关注私信	bambooqj 6 楼 pxhb 这个应该可以了表哥果然厉害. 2017-3-6 01:37 0
qiucx 雪币： 222 活跃值： (88) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 32 粉丝 1 关注私信	qiucx 7 楼感谢兄弟们！感谢pxhb，但是应该是没脱干净，关键代码是空的。 EncryptHelper.Encrpt,method_0和method_1 这个是reactor正版软件混淆的。再次感谢大家！ 2017-3-6 10:15 0
厉害了我的谁雪币： 6673 活跃值： (4113) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 246 粉丝 84 关注私信	厉害了我的谁 8 楼楼主的附件和下面这个帖里的是一样的. 那里的脱壳后的文件可以看到楼主说的那两个 method. http://bbs.pediy.com/thread-215636.htm 2017-3-6 13:11 0
qiucx 雪币： 222 活跃值： (88) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 32 粉丝 1 关注私信	qiucx 9 楼不知道yinhuo兄弟能否看见，能否授人以渔！感谢大家！ 2017-3-6 22:55 0
淡淡幽香雪币： 102 活跃值： (149) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 64 粉丝 0 关注私信	淡淡幽香 10 楼 qiucx 不知道yinhuo兄弟能否看见，能否授人以渔！感谢大家！不知道哎，貌似只给脱壳，不给指点 2017-3-6 23:22 0
destnity 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 103 粉丝 1 关注私信	destnity 11 楼努力学习，不要想渔，只是楼主关注的不是脱壳本身，是其后面的“鱼”，呵呵。。。 2017-3-6 23:43 0
xudeli 雪币： 162 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 18 粉丝 0 关注私信	xudeli 12 楼 destnity 努力学习，不要想渔[em_19]，只是楼主关注的不是脱壳本身，是其后面的“鱼”，呵呵。。。我要拜师！收不收 2017-3-7 12:34 0
pxhb 雪币： 6535 活跃值： (4491) 能力值： ( LV7，RANK：110 ) 在线值：发帖 10 回帖 421 粉丝 20 关注私信	pxhb 2 13 楼淡淡幽香大神，问一下，能透漏一下，你这个是怎么脱得吗？给指点一下可以吗？修改de4dot代码，主要是提取特征，官方有下载 2017-3-7 13:17 0
qiucx 雪币： 222 活跃值： (88) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 32 粉丝 1 关注私信	qiucx 14 楼 @pxhb 是不是下面这部分所描述的，找出这个关键位置？ https://github.com/0xd4d/de4dot 简单说一下，呵呵，谢谢！ Dynamically decrypting strings Although de4dot supports a lot of obfuscators, there's still some it doesn't support. To decrypt strings, you'll first need to figure out which method or methods decrypt strings. To get the method token of these string decrypters, you can use ILDASM with the 'show metadata tokens' option enabled. A method token is a 32-bit number and begins with 06, eg. 06012345. This command will load assembly file1.dll into memory by calling Assembly.Load(). When it detects calls to the two string decrypters (06012345 and 060ABCDE), it will call them by creating a dynamic method, and save the result (the decrypted string). The call to the string decrypter will be removed and the decrypted string will be in its place. de4dot file1.dll --strtyp delegate --strtok 06012345 --strtok 060ABCDE Since the assembly is loaded and executed, make sure you run this in a sandbox if you suspect the file to be malware. 2017-3-7 21:34 0
淡淡幽香雪币： 102 活跃值： (149) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 64 粉丝 0 关注私信	淡淡幽香 15 楼 qiucx @pxhb  是不是下面这部分所描述的，找出这个关键位置？  https://github.com/0xd4d/de4dot &nbs ... 看到要好好研究一下那个de4dot的源码了 2017-3-9 00:11 0
淡淡幽香雪币： 102 活跃值： (149) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 64 粉丝 0 关注私信	淡淡幽香 16 楼 pxhb 淡淡幽香大神，问一下，能透漏一下，你这个是怎么脱得吗？给指点一下可以吗？修改de4dot代码，主要是提取特征，官方有下载&nb ... 没太明白，能再稍微说一下吗 2017-3-12 12:00 0
无敌多寂寞雪币： 194 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	无敌多寂寞 17 楼 pxhb 这个应该可以了您好，能交一下怎么反编译出来吗 2019-3-19 15:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

qiucx

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (16)
qiucx 雪币： 222 活跃值： (88) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 32 粉丝 1 关注私信	qiucx 2 楼另外，如果烟火（yinhuo）兄弟能看到，能否友情发送你的 de4dot by烟火版本给我，邮箱 4586881@qq.com 在一个视频中，看到过大侠的de4dot，神奇。先感谢！ 2017-3-3 23:18 0
淡淡幽香雪币： 102 活跃值： (149) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 64 粉丝 0 关注私信	淡淡幽香 3 楼 qiucx 另外，如果烟火（yanhuo）兄弟能看到，能否友情发送你的 de4dot by烟火版本给我，邮箱 4586881@qq.com 在一个视频中，看到过大侠的de4dot，神奇。先感谢！我也是遇到你的问题，最新版的 de4dot解决不了，貌似需要先 dump+cef+ase修复就行可了，但是我尝试了不行，我看到的一个国外的手动脱壳教程 https://forum.tuts4you.com/topic/36587-crackmenet-reactor-modded/ 2017-3-5 11:02 0
pxhb 雪币： 6535 活跃值： (4491) 能力值： ( LV7，RANK：110 ) 在线值：发帖 10 回帖 421 粉丝 20 关注私信	pxhb 2 4 楼这个应该可以了上传的附件： a_decrypted.exe （550.00kb，244次下载） 2017-3-5 11:25 1
淡淡幽香雪币： 102 活跃值： (149) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 64 粉丝 0 关注私信	淡淡幽香 5 楼 pxhb 这个应该可以了大神，问一下，能透漏一下，你这个是怎么脱得吗？给指点一下可以吗？ 2017-3-5 17:25 0
bambooqj 雪币： 783 活跃值： (1121) 能力值： ( LV5，RANK：78 ) 在线值：发帖 34 回帖 365 粉丝 39 关注私信	bambooqj 6 楼 pxhb 这个应该可以了表哥果然厉害. 2017-3-6 01:37 0
qiucx 雪币： 222 活跃值： (88) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 32 粉丝 1 关注私信	qiucx 7 楼感谢兄弟们！感谢pxhb，但是应该是没脱干净，关键代码是空的。 EncryptHelper.Encrpt,method_0和method_1 这个是reactor正版软件混淆的。再次感谢大家！ 2017-3-6 10:15 0
厉害了我的谁雪币： 6673 活跃值： (4113) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 246 粉丝 84 关注私信	厉害了我的谁 8 楼楼主的附件和下面这个帖里的是一样的. 那里的脱壳后的文件可以看到楼主说的那两个 method. http://bbs.pediy.com/thread-215636.htm 2017-3-6 13:11 0
qiucx 雪币： 222 活跃值： (88) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 32 粉丝 1 关注私信	qiucx 9 楼不知道yinhuo兄弟能否看见，能否授人以渔！感谢大家！ 2017-3-6 22:55 0
淡淡幽香雪币： 102 活跃值： (149) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 64 粉丝 0 关注私信	淡淡幽香 10 楼 qiucx 不知道yinhuo兄弟能否看见，能否授人以渔！感谢大家！不知道哎，貌似只给脱壳，不给指点 2017-3-6 23:22 0
destnity 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 103 粉丝 1 关注私信	destnity 11 楼努力学习，不要想渔，只是楼主关注的不是脱壳本身，是其后面的“鱼”，呵呵。。。 2017-3-6 23:43 0
xudeli 雪币： 162 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 18 粉丝 0 关注私信	xudeli 12 楼 destnity 努力学习，不要想渔[em_19]，只是楼主关注的不是脱壳本身，是其后面的“鱼”，呵呵。。。我要拜师！收不收 2017-3-7 12:34 0
pxhb 雪币： 6535 活跃值： (4491) 能力值： ( LV7，RANK：110 ) 在线值：发帖 10 回帖 421 粉丝 20 关注私信	pxhb 2 13 楼淡淡幽香大神，问一下，能透漏一下，你这个是怎么脱得吗？给指点一下可以吗？修改de4dot代码，主要是提取特征，官方有下载 2017-3-7 13:17 0
qiucx 雪币： 222 活跃值： (88) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 32 粉丝 1 关注私信	qiucx 14 楼 @pxhb 是不是下面这部分所描述的，找出这个关键位置？ https://github.com/0xd4d/de4dot 简单说一下，呵呵，谢谢！ Dynamically decrypting strings Although de4dot supports a lot of obfuscators, there's still some it doesn't support. To decrypt strings, you'll first need to figure out which method or methods decrypt strings. To get the method token of these string decrypters, you can use ILDASM with the 'show metadata tokens' option enabled. A method token is a 32-bit number and begins with 06, eg. 06012345. This command will load assembly file1.dll into memory by calling Assembly.Load(). When it detects calls to the two string decrypters (06012345 and 060ABCDE), it will call them by creating a dynamic method, and save the result (the decrypted string). The call to the string decrypter will be removed and the decrypted string will be in its place. de4dot file1.dll --strtyp delegate --strtok 06012345 --strtok 060ABCDE Since the assembly is loaded and executed, make sure you run this in a sandbox if you suspect the file to be malware. 2017-3-7 21:34 0
淡淡幽香雪币： 102 活跃值： (149) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 64 粉丝 0 关注私信	淡淡幽香 15 楼 qiucx @pxhb  是不是下面这部分所描述的，找出这个关键位置？  https://github.com/0xd4d/de4dot &nbs ... 看到要好好研究一下那个de4dot的源码了 2017-3-9 00:11 0
淡淡幽香雪币： 102 活跃值： (149) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 64 粉丝 0 关注私信	淡淡幽香 16 楼 pxhb 淡淡幽香大神，问一下，能透漏一下，你这个是怎么脱得吗？给指点一下可以吗？修改de4dot代码，主要是提取特征，官方有下载&nb ... 没太明白，能再稍微说一下吗 2017-3-12 12:00 0
无敌多寂寞雪币： 194 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	无敌多寂寞 17 楼 pxhb 这个应该可以了您好，能交一下怎么反编译出来吗 2019-3-19 15:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复