[原创]一个c#写的.net程序！-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
avan123456 雪币： 201 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 12 粉丝 1 关注私信	avan123456 2019-6-18 16:23 2 楼 0 有可以帮忙指点的高手，也可直接联系本人QQ61887534，非常感谢！！！
月落之汀雪币： 6369 活跃值： (1308) 能力值： ( LV4，RANK：156 ) 在线值：发帖 6 回帖 154 粉丝 7 关注私信	月落之汀 1 2019-6-18 17:10 3 楼 0 这是C++CLI，说白了点你就不能当C#程序逆向
avan123456 雪币： 201 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 12 粉丝 1 关注私信	avan123456 2019-6-18 17:37 4 楼 0 月落之汀这是C++CLI，说白了点你就不能当C#程序逆向非常感谢回复。再请教，C++CLI该如何反编译或者调试分析？谢了。。。
月落之汀雪币： 6369 活跃值： (1308) 能力值： ( LV4，RANK：156 ) 在线值：发帖 6 回帖 154 粉丝 7 关注私信	月落之汀 1 2019-6-18 18:09 5 楼 0 avan123456 非常感谢回复。再请教，C++CLI该如何反编译或者调试分析？谢了。。。[em_1] 他有一部分是托管代码，比如这个在module里（反编译后的），剩余部分是C++的本地代码，你用ida就可以看到，当然loader别选错了，选pe，不要选.net，这是一个混合程序集
avan123456 雪币： 201 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 12 粉丝 1 关注私信	avan123456 2019-6-18 21:10 6 楼 0 感谢，用IDA导入，好像看到的内容也比较有限，会是什么原因？比如左边窗口中的过程或函数名称不够直观（反倒是.netReflector下看到的要明确些）。谢了。。。感谢！
月落之汀雪币： 6369 活跃值： (1308) 能力值： ( LV4，RANK：156 ) 在线值：发帖 6 回帖 154 粉丝 7 关注私信	月落之汀 1 2019-6-18 22:54 7 楼 0 已经很不错了，有名字说明还有元信息在，sub_xxx是ida加的，表示这个虚拟地址上有一个函数（假设加载地址是xxx + 偏移）
avan123456 雪币： 201 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 12 粉丝 1 关注私信	avan123456 2019-6-19 19:54 8 楼 0 月落之汀已经很不错了，有名字说明还有元信息在，sub_xxx是ida加的，表示这个虚拟地址上有一个函数（假设加载地址是xxx + 偏移）好的，还是非常感谢。我在研究下。。。
avan123456 雪币： 201 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 12 粉丝 1 关注私信	avan123456 2019-8-8 09:25 9 楼 0 调试过程中，地址从主程序0041xxxx跳转到debug086:xxxxxx地址，这表示啥意思？如下图：在OD中调试的时候，也是会从0041xxxx地址跳转到002Dxxxx地址，这是什么情况？
mb_qmxsyypu 雪币： 42 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	mb_qmxsyypu 2019-11-10 00:44 10 楼 0 看节表的名称和数量，应该没有加壳的。普通的PE，用PEtool查一下IAT表和导入表、导出表、重定位表的地址吧。如果这些大部分的表的地址是0，那就是被移动了
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (9)
avan123456 雪币： 201 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 12 粉丝 1 关注私信	avan123456 2019-6-18 16:23 2 楼 0 有可以帮忙指点的高手，也可直接联系本人QQ61887534，非常感谢！！！
月落之汀雪币： 6369 活跃值： (1308) 能力值： ( LV4，RANK：156 ) 在线值：发帖 6 回帖 154 粉丝 7 关注私信	月落之汀 1 2019-6-18 17:10 3 楼 0 这是C++CLI，说白了点你就不能当C#程序逆向
avan123456 雪币： 201 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 12 粉丝 1 关注私信	avan123456 2019-6-18 17:37 4 楼 0 月落之汀这是C++CLI，说白了点你就不能当C#程序逆向非常感谢回复。再请教，C++CLI该如何反编译或者调试分析？谢了。。。
月落之汀雪币： 6369 活跃值： (1308) 能力值： ( LV4，RANK：156 ) 在线值：发帖 6 回帖 154 粉丝 7 关注私信	月落之汀 1 2019-6-18 18:09 5 楼 0 avan123456 非常感谢回复。再请教，C++CLI该如何反编译或者调试分析？谢了。。。[em_1] 他有一部分是托管代码，比如这个在module里（反编译后的），剩余部分是C++的本地代码，你用ida就可以看到，当然loader别选错了，选pe，不要选.net，这是一个混合程序集
avan123456 雪币： 201 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 12 粉丝 1 关注私信	avan123456 2019-6-18 21:10 6 楼 0 感谢，用IDA导入，好像看到的内容也比较有限，会是什么原因？比如左边窗口中的过程或函数名称不够直观（反倒是.netReflector下看到的要明确些）。谢了。。。感谢！
月落之汀雪币： 6369 活跃值： (1308) 能力值： ( LV4，RANK：156 ) 在线值：发帖 6 回帖 154 粉丝 7 关注私信	月落之汀 1 2019-6-18 22:54 7 楼 0 已经很不错了，有名字说明还有元信息在，sub_xxx是ida加的，表示这个虚拟地址上有一个函数（假设加载地址是xxx + 偏移）
avan123456 雪币： 201 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 12 粉丝 1 关注私信	avan123456 2019-6-19 19:54 8 楼 0 月落之汀已经很不错了，有名字说明还有元信息在，sub_xxx是ida加的，表示这个虚拟地址上有一个函数（假设加载地址是xxx + 偏移）好的，还是非常感谢。我在研究下。。。
avan123456 雪币： 201 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 12 粉丝 1 关注私信	avan123456 2019-8-8 09:25 9 楼 0 调试过程中，地址从主程序0041xxxx跳转到debug086:xxxxxx地址，这表示啥意思？如下图：在OD中调试的时候，也是会从0041xxxx地址跳转到002Dxxxx地址，这是什么情况？
mb_qmxsyypu 雪币： 42 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	mb_qmxsyypu 2019-11-10 00:44 10 楼 0 看节表的名称和数量，应该没有加壳的。普通的PE，用PEtool查一下IAT表和导入表、导出表、重定位表的地址吧。如果这些大部分的表的地址是0，那就是被移动了
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复