[原创]一个c#写的.net程序！-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
avan123456 雪币： 201 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 14 粉丝 1 关注私信	avan123456 2 楼有可以帮忙指点的高手，也可直接联系本人QQ61887534，非常感谢！！！ 2019-6-18 16:23 0
月落之汀雪币： 6369 活跃值： (1693) 能力值： ( LV4，RANK：156 ) 在线值：发帖 6 回帖 158 粉丝 8 关注私信	月落之汀 1 3 楼这是C++CLI，说白了点你就不能当C#程序逆向 2019-6-18 17:10 0
avan123456 雪币： 201 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 14 粉丝 1 关注私信	avan123456 4 楼月落之汀这是C++CLI，说白了点你就不能当C#程序逆向非常感谢回复。再请教，C++CLI该如何反编译或者调试分析？谢了。。。 2019-6-18 17:37 0
月落之汀雪币： 6369 活跃值： (1693) 能力值： ( LV4，RANK：156 ) 在线值：发帖 6 回帖 158 粉丝 8 关注私信	月落之汀 1 5 楼 avan123456 非常感谢回复。再请教，C++CLI该如何反编译或者调试分析？谢了。。。[em_1] 他有一部分是托管代码，比如这个在module里（反编译后的），剩余部分是C++的本地代码，你用ida就可以看到，当然loader别选错了，选pe，不要选.net，这是一个混合程序集 2019-6-18 18:09 0
avan123456 雪币： 201 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 14 粉丝 1 关注私信	avan123456 6 楼感谢，用IDA导入，好像看到的内容也比较有限，会是什么原因？比如左边窗口中的过程或函数名称不够直观（反倒是.netReflector下看到的要明确些）。谢了。。。感谢！ 2019-6-18 21:10 0
月落之汀雪币： 6369 活跃值： (1693) 能力值： ( LV4，RANK：156 ) 在线值：发帖 6 回帖 158 粉丝 8 关注私信	月落之汀 1 7 楼已经很不错了，有名字说明还有元信息在，sub_xxx是ida加的，表示这个虚拟地址上有一个函数（假设加载地址是xxx + 偏移） 2019-6-18 22:54 0
avan123456 雪币： 201 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 14 粉丝 1 关注私信	avan123456 8 楼月落之汀已经很不错了，有名字说明还有元信息在，sub_xxx是ida加的，表示这个虚拟地址上有一个函数（假设加载地址是xxx + 偏移）好的，还是非常感谢。我在研究下。。。 2019-6-19 19:54 0
avan123456 雪币： 201 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 14 粉丝 1 关注私信	avan123456 9 楼调试过程中，地址从主程序0041xxxx跳转到debug086:xxxxxx地址，这表示啥意思？如下图：在OD中调试的时候，也是会从0041xxxx地址跳转到002Dxxxx地址，这是什么情况？ 2019-8-8 09:25 0
mb_qmxsyypu 雪币： 42 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	mb_qmxsyypu 10 楼看节表的名称和数量，应该没有加壳的。普通的PE，用PEtool查一下IAT表和导入表、导出表、重定位表的地址吧。如果这些大部分的表的地址是0，那就是被移动了 2019-11-10 00:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
avan123456 雪币： 201 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 14 粉丝 1 关注私信	avan123456 2 楼有可以帮忙指点的高手，也可直接联系本人QQ61887534，非常感谢！！！ 2019-6-18 16:23 0
月落之汀雪币： 6369 活跃值： (1693) 能力值： ( LV4，RANK：156 ) 在线值：发帖 6 回帖 158 粉丝 8 关注私信	月落之汀 1 3 楼这是C++CLI，说白了点你就不能当C#程序逆向 2019-6-18 17:10 0
avan123456 雪币： 201 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 14 粉丝 1 关注私信	avan123456 4 楼月落之汀这是C++CLI，说白了点你就不能当C#程序逆向非常感谢回复。再请教，C++CLI该如何反编译或者调试分析？谢了。。。 2019-6-18 17:37 0
月落之汀雪币： 6369 活跃值： (1693) 能力值： ( LV4，RANK：156 ) 在线值：发帖 6 回帖 158 粉丝 8 关注私信	月落之汀 1 5 楼 avan123456 非常感谢回复。再请教，C++CLI该如何反编译或者调试分析？谢了。。。[em_1] 他有一部分是托管代码，比如这个在module里（反编译后的），剩余部分是C++的本地代码，你用ida就可以看到，当然loader别选错了，选pe，不要选.net，这是一个混合程序集 2019-6-18 18:09 0
avan123456 雪币： 201 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 14 粉丝 1 关注私信	avan123456 6 楼感谢，用IDA导入，好像看到的内容也比较有限，会是什么原因？比如左边窗口中的过程或函数名称不够直观（反倒是.netReflector下看到的要明确些）。谢了。。。感谢！ 2019-6-18 21:10 0
月落之汀雪币： 6369 活跃值： (1693) 能力值： ( LV4，RANK：156 ) 在线值：发帖 6 回帖 158 粉丝 8 关注私信	月落之汀 1 7 楼已经很不错了，有名字说明还有元信息在，sub_xxx是ida加的，表示这个虚拟地址上有一个函数（假设加载地址是xxx + 偏移） 2019-6-18 22:54 0
avan123456 雪币： 201 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 14 粉丝 1 关注私信	avan123456 8 楼月落之汀已经很不错了，有名字说明还有元信息在，sub_xxx是ida加的，表示这个虚拟地址上有一个函数（假设加载地址是xxx + 偏移）好的，还是非常感谢。我在研究下。。。 2019-6-19 19:54 0
avan123456 雪币： 201 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 14 粉丝 1 关注私信	avan123456 9 楼调试过程中，地址从主程序0041xxxx跳转到debug086:xxxxxx地址，这表示啥意思？如下图：在OD中调试的时候，也是会从0041xxxx地址跳转到002Dxxxx地址，这是什么情况？ 2019-8-8 09:25 0
mb_qmxsyypu 雪币： 42 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	mb_qmxsyypu 10 楼看节表的名称和数量，应该没有加壳的。普通的PE，用PEtool查一下IAT表和导入表、导出表、重定位表的地址吧。如果这些大部分的表的地址是0，那就是被移动了 2019-11-10 00:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复