大家好！目前我遇到一个.Net程序，采用了.Net Reactor加壳混淆的，直接用反编译工具会提示不是.Net程序，查壳的话有的查壳工具显示4.5-4.7，有的显示4.8，具体版本不明，我猜可能是做了版本混淆，有可能最新5.0版的。各个查壳工具查下来的结果请见附件的图片。

首先，我尝试使用de4net脱壳，下载了无数的版本，包括wushensoft支持5.0的那个版本，采取拖放方式都不成功，加上-p dr3或者-p dr4参数之后，有两个显示脱成功了，但实际上脱完之后都没办法运行了，用Net Reflector打开之后可以看到代码，但貌似不完全也不正确，以乱码居多。

其次，通过外网搜索，找到tuts4you.com上的https://forum.tuts4you.com/topic/36587-crackmenet-reactor-modded/这个帖子，我按照里面的步骤去操作，的确可以提取出一个新的exe文件，但是，在最后步骤的：
Dumping The "Real" Real Executable

• Open the new file you dumped in a .NET disassembler such as ILSpy.
• View the files managed resources and save the resource '_' in this case, to disk as a new executable.
• This new file is the real obfuscated crackme file fully removed from the loaders.
• After this point I stopped, the file does a lot of suspicious things so I didn't bother continuing.
  

这里，新提取出来的exe虽然图标和文件信息什么的都正确，看着好像正常，但实际上已经不能正常运行了（有人说是缺了资源数据）。而且使用Simple AssemblyExplorer打开之后，资源里面并没有“_”，而是三个乱码名字的，我提取出来保存为exe发现都并不是正常的PE文件。

通过搜索，我找到别人分享的一个视频（http://pan.baidu.com/s/1c8eMya），是手脱.Net Reactor 4.9的，里面的步骤与上面帖子的一样，也是先用od打开，搜索参考字符串，跟随，下断，断下后F8，EAX处跟随内存，保存数据到文件，再用winhex编辑这个文件，把特征处前面的区块断删除，保存为新的文件，也就是提取出来的新exe了。文件看着正常，但实际上已无法正常运行。下一步的用Simple AssemblyExplorer打开提取"_"资源并保存也是没有办法继续了。

在看雪上我搜索过，貌似有很多人跟我一样遇到过这种壳且用de4net脱不掉的，或者勉强脱掉后也无法运行的，但我看也有大神会弄的。有人回复说可以手脱，但没说具体方法，有人说ESP定律可以脱，我试过不行。搜索了下.Net Reactor手脱，基本没什么结果。

在此想请教一下大家，这种.Net Reactor加壳的程序，在de4net无法脱掉或者脱掉后无法运行的情况下，就没有办法了吗？如果是别的语言的，我可能还可以带壳用od慢慢研究，也就花的时间长一点，但.Net程序用OD调试实在没啥用呀。如果有大神能指教一下如何对付这种壳，或者如何手脱，或者脱掉后如何修复的话，小弟感激不尽！

最后，附上文件链接，11.exe是原始文件，22.exe是按照帖子说明操作之后提取出来的新的文件（无法正常运行）。http://pan.baidu.com/s/1o7RIKLc

[培训]科锐软件逆向50期预科班报名即将截止，速来！！！ 50期正式班报名火爆招生中！！！