[求助]C#程序脱壳求助-¥付费问答-看雪-安全社区|安全招聘|kanxue.com

[已解决] [求助]C#程序脱壳求助 100.00雪花

2022-5-23 16:01 6687

[已解决] [求助]C#程序脱壳求助 100.00雪花

wx_孤城

2022-5-23 16:01

6687

已结帖

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

最后于 2022-9-29 15:38 被wx_孤城编辑，原因：

收藏・1

点赞・1

打赏

最新回复 (24)
微启宇雪币： 2123 活跃值： (5657) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 540 粉丝 32 关注私信	微启宇 2022-5-23 21:22 (+40.00雪花) 2 楼 0 如楼下所言方案一二可以自己抓数据包写个本地的服务端, 再在hosts里把域名解析到本地运行不了的错误代码在这两个版本加的壳为虚拟机壳为: 压缩壳为: 最后于 2022-5-24 17:12 被微启宇编辑，原因：
EX呵呵雪币： 267 活跃值： (3214) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2022-5-24 01:15 3 楼 0 主要是里面的字符串加密和vm很恶心
EX呵呵雪币： 267 活跃值： (3214) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2022-5-24 01:16 4 楼 0 vm我觉得可以改vm库来dump部分函数的原型
EX呵呵雪币： 267 活跃值： (3214) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2022-5-24 01:16 5 楼 0 字符串加密我勉强解开了
chinasmu 雪币： 5398 活跃值： (2523) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 200 粉丝 2 关注私信	chinasmu 2022-5-24 02:22 6 楼 0 方案1自己Fiddler一下不是很容易吗
EX呵呵雪币： 267 活跃值： (3214) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2022-5-24 02:38 7 楼 0 我这边提取出Opcode了，但分析每个Opcode代表什么我就无能为力了上传的附件： AgileDotNet.VMRuntime-cleaned.dll （497.50kb，4次下载） Opcode.txt （12.04kb，12次下载）
EX呵呵雪币： 267 活跃值： (3214) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2022-5-24 02:39 8 楼 0 EX呵呵我这边提取出Opcode了，但分析每个Opcode代表什么我就无能为力了这个只是Opcode值对应的函数的名字，程序的opcode提取不出来（这个程序根本运行不起来）
mudebug 雪币： 8040 活跃值： (5240) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 302 粉丝 31 关注私信	mudebug 2022-5-24 04:50 9 楼 0 好了，这个帖子成功安利我下载了Eazfuscator.NET并安装上了。
wx_孤城雪币： 1760 活跃值： (2349) 能力值： ( LV12，RANK：234 ) 在线值：发帖 8 回帖 17 粉丝 2 关注私信	wx_孤城 2022-5-24 09:26 10 楼 0 EX呵呵这个只是Opcode值对应的函数的名字，程序的opcode提取不出来（这个程序根本运行不起来）用CMD 程序.exe TOKEN，它会验证命令行参数的TOKEN对不对，然后验证版本号。TOKEN是3个机器码信息的MD5
wx_孤城雪币： 1760 活跃值： (2349) 能力值： ( LV12，RANK：234 ) 在线值：发帖 8 回帖 17 粉丝 2 关注私信	wx_孤城 2022-5-24 09:28 11 楼 0 chinasmu 方案1自己Fiddler一下不是很容易吗除了改host，有什么好的解决方案么。想法是不改host，通过HOOK域名转IP的函数实现，但是在gethostbyname等DNS函数断点都断不下。
chinasmu 雪币： 5398 活跃值： (2523) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 200 粉丝 2 关注私信	chinasmu 2022-5-24 11:47 12 楼 0 5.1也打不开啊，官网有新版好像，不过俺下载不下来
wx_孤城雪币： 1760 活跃值： (2349) 能力值： ( LV12，RANK：234 ) 在线值：发帖 8 回帖 17 粉丝 2 关注私信	wx_孤城 2022-5-24 14:27 13 楼 0 chinasmu 5.1也打不开啊，官网有新版好像，不过俺下载不下来需要命令行执行， .exe token ， token是3个机器码的MD5，需要绕过
EX呵呵雪币： 267 活跃值： (3214) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2022-5-24 17:53 14 楼 0 机器码是这几个值算的 WIN32_Processor.ProcessorId WIN32_ComputerSystemProduct.UUID Win32_BaseBoard.Product
EX呵呵雪币： 267 活跃值： (3214) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2022-5-24 18:22 (+60.00雪花) 15 楼 0 我这边写了个算key工具，现在能进主界面了上传的附件： ~PA6HMSNLU)A@@`_[{_6K8P.png （37.38kb，3次下载）
EX呵呵雪币： 267 活跃值： (3214) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2022-5-24 18:29 16 楼 0 fiddler好像抓不到包我手动看了一下，更新地址是https://s13.iremovalpro.com/checkra1n.php
EX呵呵雪币： 267 活跃值： (3214) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2022-5-24 18:49 17 楼 0 我把更新干掉了，但是start按钮还是灰的，这是正常情况吗？
EX呵呵雪币： 267 活跃值： (3214) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2022-5-24 19:15 18 楼 0 EX呵呵我把更新干掉了，但是start按钮还是灰的，这是正常情况吗？好像碰到暗装了，我再改改
EX呵呵雪币： 267 活跃值： (3214) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2022-5-24 19:35 19 楼 0 原来是我这边缺驱动才崩溃的啊
李刚ctt 雪币： 7536 活跃值： (2758) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 105 粉丝 4 关注私信	李刚ctt 2022-5-24 19:56 20 楼 0 是说看着眼熟，原来是ios越狱工具。。。。
wx_孤城雪币： 1760 活跃值： (2349) 能力值： ( LV12，RANK：234 ) 在线值：发帖 8 回帖 17 粉丝 2 关注私信	wx_孤城 2022-5-25 09:24 21 楼 0 EX呵呵好像碰到暗装了，我再改改正常的，按钮要插手机才会变亮。不过干掉更新线程的话它是不会变亮的
wx_孤城雪币： 1760 活跃值： (2349) 能力值： ( LV12，RANK：234 ) 在线值：发帖 8 回帖 17 粉丝 2 关注私信	wx_孤城 2022-5-25 09:27 22 楼 0 你的TOKEN已经取好了，接下来干掉更新，加油，用5.0能成功不闪退，就算完成方案2了
wx_孤城雪币： 1760 活跃值： (2349) 能力值： ( LV12，RANK：234 ) 在线值：发帖 8 回帖 17 粉丝 2 关注私信	wx_孤城 2022-5-25 14:23 23 楼 0 爱我佳鑫如楼下所言方案一二可以自己抓数据包写个本地的服务端, 再在hosts里把域名解析到本地运行不了的错误代码在这两个版本加的壳为虚拟机壳为:压缩壳为: 运行不了需要加命令行参数，是3个机器码的大写MD5
EX呵呵雪币： 267 活跃值： (3214) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2022-5-25 15:44 24 楼 0 wx_孤城你的TOKEN已经取好了，接下来干掉更新，加油，用5.0能成功不闪退，就算完成方案2了凎更新会闪退，我还在研究是触发了哪里的暗装
微启宇雪币： 2123 活跃值： (5657) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 540 粉丝 32 关注私信	微启宇 2022-5-30 20:28 25 楼 0 @wx_孤城其实你不用给钱我, 我都没干啥事... 你应该给这位兄 @EX呵呵他真正干事的人.
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

wx_孤城

发帖

回帖

234

RANK

关注

私信

他的文章

[原创]KCTF 2023 第六题 WP 中午吃什么

KCTF2023题目提交

[原创]KCTF2022秋季赛题目提交

[求助]C#程序脱壳求助

[原创]2022KCTF春季赛-第七题-一触即发-Writeup

关于我们

联系我们

企业服务

看雪公众号

最新回复 (24)
微启宇雪币： 2123 活跃值： (5657) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 540 粉丝 32 关注私信	微启宇 2022-5-23 21:22 (+40.00雪花) 2 楼 0 如楼下所言方案一二可以自己抓数据包写个本地的服务端, 再在hosts里把域名解析到本地运行不了的错误代码在这两个版本加的壳为虚拟机壳为: 压缩壳为: 最后于 2022-5-24 17:12 被微启宇编辑，原因：
EX呵呵雪币： 267 活跃值： (3214) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2022-5-24 01:15 3 楼 0 主要是里面的字符串加密和vm很恶心
EX呵呵雪币： 267 活跃值： (3214) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2022-5-24 01:16 4 楼 0 vm我觉得可以改vm库来dump部分函数的原型
EX呵呵雪币： 267 活跃值： (3214) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2022-5-24 01:16 5 楼 0 字符串加密我勉强解开了
chinasmu 雪币： 5398 活跃值： (2523) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 200 粉丝 2 关注私信	chinasmu 2022-5-24 02:22 6 楼 0 方案1自己Fiddler一下不是很容易吗
EX呵呵雪币： 267 活跃值： (3214) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2022-5-24 02:38 7 楼 0 我这边提取出Opcode了，但分析每个Opcode代表什么我就无能为力了上传的附件： AgileDotNet.VMRuntime-cleaned.dll （497.50kb，4次下载） Opcode.txt （12.04kb，12次下载）
EX呵呵雪币： 267 活跃值： (3214) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2022-5-24 02:39 8 楼 0 EX呵呵我这边提取出Opcode了，但分析每个Opcode代表什么我就无能为力了这个只是Opcode值对应的函数的名字，程序的opcode提取不出来（这个程序根本运行不起来）
mudebug 雪币： 8040 活跃值： (5240) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 302 粉丝 31 关注私信	mudebug 2022-5-24 04:50 9 楼 0 好了，这个帖子成功安利我下载了Eazfuscator.NET并安装上了。
wx_孤城雪币： 1760 活跃值： (2349) 能力值： ( LV12，RANK：234 ) 在线值：发帖 8 回帖 17 粉丝 2 关注私信	wx_孤城 2022-5-24 09:26 10 楼 0 EX呵呵这个只是Opcode值对应的函数的名字，程序的opcode提取不出来（这个程序根本运行不起来）用CMD 程序.exe TOKEN，它会验证命令行参数的TOKEN对不对，然后验证版本号。TOKEN是3个机器码信息的MD5
wx_孤城雪币： 1760 活跃值： (2349) 能力值： ( LV12，RANK：234 ) 在线值：发帖 8 回帖 17 粉丝 2 关注私信	wx_孤城 2022-5-24 09:28 11 楼 0 chinasmu 方案1自己Fiddler一下不是很容易吗除了改host，有什么好的解决方案么。想法是不改host，通过HOOK域名转IP的函数实现，但是在gethostbyname等DNS函数断点都断不下。
chinasmu 雪币： 5398 活跃值： (2523) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 200 粉丝 2 关注私信	chinasmu 2022-5-24 11:47 12 楼 0 5.1也打不开啊，官网有新版好像，不过俺下载不下来
wx_孤城雪币： 1760 活跃值： (2349) 能力值： ( LV12，RANK：234 ) 在线值：发帖 8 回帖 17 粉丝 2 关注私信	wx_孤城 2022-5-24 14:27 13 楼 0 chinasmu 5.1也打不开啊，官网有新版好像，不过俺下载不下来需要命令行执行， .exe token ， token是3个机器码的MD5，需要绕过
EX呵呵雪币： 267 活跃值： (3214) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2022-5-24 17:53 14 楼 0 机器码是这几个值算的 WIN32_Processor.ProcessorId WIN32_ComputerSystemProduct.UUID Win32_BaseBoard.Product
EX呵呵雪币： 267 活跃值： (3214) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2022-5-24 18:22 (+60.00雪花) 15 楼 0 我这边写了个算key工具，现在能进主界面了上传的附件： ~PA6HMSNLU)A@@`_[{_6K8P.png （37.38kb，3次下载）
EX呵呵雪币： 267 活跃值： (3214) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2022-5-24 18:29 16 楼 0 fiddler好像抓不到包我手动看了一下，更新地址是https://s13.iremovalpro.com/checkra1n.php
EX呵呵雪币： 267 活跃值： (3214) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2022-5-24 18:49 17 楼 0 我把更新干掉了，但是start按钮还是灰的，这是正常情况吗？
EX呵呵雪币： 267 活跃值： (3214) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2022-5-24 19:15 18 楼 0 EX呵呵我把更新干掉了，但是start按钮还是灰的，这是正常情况吗？好像碰到暗装了，我再改改
EX呵呵雪币： 267 活跃值： (3214) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2022-5-24 19:35 19 楼 0 原来是我这边缺驱动才崩溃的啊
李刚ctt 雪币： 7536 活跃值： (2758) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 105 粉丝 4 关注私信	李刚ctt 2022-5-24 19:56 20 楼 0 是说看着眼熟，原来是ios越狱工具。。。。
wx_孤城雪币： 1760 活跃值： (2349) 能力值： ( LV12，RANK：234 ) 在线值：发帖 8 回帖 17 粉丝 2 关注私信	wx_孤城 2022-5-25 09:24 21 楼 0 EX呵呵好像碰到暗装了，我再改改正常的，按钮要插手机才会变亮。不过干掉更新线程的话它是不会变亮的
wx_孤城雪币： 1760 活跃值： (2349) 能力值： ( LV12，RANK：234 ) 在线值：发帖 8 回帖 17 粉丝 2 关注私信	wx_孤城 2022-5-25 09:27 22 楼 0 你的TOKEN已经取好了，接下来干掉更新，加油，用5.0能成功不闪退，就算完成方案2了
wx_孤城雪币： 1760 活跃值： (2349) 能力值： ( LV12，RANK：234 ) 在线值：发帖 8 回帖 17 粉丝 2 关注私信	wx_孤城 2022-5-25 14:23 23 楼 0 爱我佳鑫如楼下所言方案一二可以自己抓数据包写个本地的服务端, 再在hosts里把域名解析到本地运行不了的错误代码在这两个版本加的壳为虚拟机壳为:压缩壳为: 运行不了需要加命令行参数，是3个机器码的大写MD5
EX呵呵雪币： 267 活跃值： (3214) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2022-5-25 15:44 24 楼 0 wx_孤城你的TOKEN已经取好了，接下来干掉更新，加油，用5.0能成功不闪退，就算完成方案2了凎更新会闪退，我还在研究是触发了哪里的暗装
微启宇雪币： 2123 活跃值： (5657) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 540 粉丝 32 关注私信	微启宇 2022-5-30 20:28 25 楼 0 @wx_孤城其实你不用给钱我, 我都没干啥事... 你应该给这位兄 @EX呵呵他真正干事的人.
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复