[求助]C#程序脱壳求助-付费问答-看雪-安全社区|安全招聘|kanxue.com

[已解决] [求助]C#程序脱壳求助 100.00雪花

发表于: 2022-5-23 16:01 7980

[已解决] [求助]C#程序脱壳求助 100.00雪花

wx_孤城

2022-5-23 16:01

7980

已结帖

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

最后于 2022-9-29 15:38 被wx_孤城编辑，原因：

收藏・1

免费・1

支持

最新回复 (24)
微启宇雪币： 2925 活跃值： (6671) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 536 粉丝 51 关注私信	微启宇 (+40.00雪花) 2 楼如楼下所言方案一二可以自己抓数据包写个本地的服务端, 再在hosts里把域名解析到本地运行不了的错误代码在这两个版本加的壳为虚拟机壳为: 压缩壳为: 最后于 2022-5-24 17:12 被微启宇编辑，原因： 2022-5-23 21:22 (+40.00雪花) 0
EX呵呵雪币： 295 活跃值： (4176) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 226 粉丝 6 关注私信	EX呵呵 3 楼主要是里面的字符串加密和vm很恶心 2022-5-24 01:15 0
EX呵呵雪币： 295 活跃值： (4176) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 226 粉丝 6 关注私信	EX呵呵 4 楼 vm我觉得可以改vm库来dump部分函数的原型 2022-5-24 01:16 0
EX呵呵雪币： 295 活跃值： (4176) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 226 粉丝 6 关注私信	EX呵呵 5 楼字符串加密我勉强解开了 2022-5-24 01:16 0
chinasmu 雪币： 6270 活跃值： (3335) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 202 粉丝 2 关注私信	chinasmu 6 楼方案1自己Fiddler一下不是很容易吗 2022-5-24 02:22 0
EX呵呵雪币： 295 活跃值： (4176) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 226 粉丝 6 关注私信	EX呵呵 7 楼我这边提取出Opcode了，但分析每个Opcode代表什么我就无能为力了上传的附件： AgileDotNet.VMRuntime-cleaned.dll （497.50kb，4次下载） Opcode.txt （12.04kb，12次下载） 2022-5-24 02:38 0
EX呵呵雪币： 295 活跃值： (4176) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 226 粉丝 6 关注私信	EX呵呵 8 楼 EX呵呵我这边提取出Opcode了，但分析每个Opcode代表什么我就无能为力了这个只是Opcode值对应的函数的名字，程序的opcode提取不出来（这个程序根本运行不起来） 2022-5-24 02:39 0
mudebug 雪币： 9024 活跃值： (6245) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 308 粉丝 41 关注私信	mudebug 9 楼好了，这个帖子成功安利我下载了Eazfuscator.NET并安装上了。 2022-5-24 04:50 0
wx_孤城雪币： 3159 活跃值： (2839) 能力值： ( LV12，RANK：383 ) 在线值：发帖 15 回帖 32 粉丝 3 关注私信	wx_孤城 1 10 楼 EX呵呵这个只是Opcode值对应的函数的名字，程序的opcode提取不出来（这个程序根本运行不起来）用CMD 程序.exe TOKEN，它会验证命令行参数的TOKEN对不对，然后验证版本号。TOKEN是3个机器码信息的MD5 2022-5-24 09:26 0
wx_孤城雪币： 3159 活跃值： (2839) 能力值： ( LV12，RANK：383 ) 在线值：发帖 15 回帖 32 粉丝 3 关注私信	wx_孤城 1 11 楼 chinasmu 方案1自己Fiddler一下不是很容易吗除了改host，有什么好的解决方案么。想法是不改host，通过HOOK域名转IP的函数实现，但是在gethostbyname等DNS函数断点都断不下。 2022-5-24 09:28 0
chinasmu 雪币： 6270 活跃值： (3335) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 202 粉丝 2 关注私信	chinasmu 12 楼 5.1也打不开啊，官网有新版好像，不过俺下载不下来 2022-5-24 11:47 0
wx_孤城雪币： 3159 活跃值： (2839) 能力值： ( LV12，RANK：383 ) 在线值：发帖 15 回帖 32 粉丝 3 关注私信	wx_孤城 1 13 楼 chinasmu 5.1也打不开啊，官网有新版好像，不过俺下载不下来需要命令行执行， .exe token ， token是3个机器码的MD5，需要绕过 2022-5-24 14:27 0
EX呵呵雪币： 295 活跃值： (4176) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 226 粉丝 6 关注私信	EX呵呵 14 楼机器码是这几个值算的 WIN32_Processor.ProcessorId WIN32_ComputerSystemProduct.UUID Win32_BaseBoard.Product 2022-5-24 17:53 0
EX呵呵雪币： 295 活跃值： (4176) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 226 粉丝 6 关注私信	EX呵呵 (+60.00雪花) 15 楼我这边写了个算key工具，现在能进主界面了上传的附件： ~PA6HMSNLU)A@@`_[{_6K8P.png （37.38kb，3次下载） 2022-5-24 18:22 (+60.00雪花) 0
EX呵呵雪币： 295 活跃值： (4176) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 226 粉丝 6 关注私信	EX呵呵 16 楼 fiddler好像抓不到包我手动看了一下，更新地址是https://s13.iremovalpro.com/checkra1n.php 2022-5-24 18:29 0
EX呵呵雪币： 295 活跃值： (4176) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 226 粉丝 6 关注私信	EX呵呵 17 楼我把更新干掉了，但是start按钮还是灰的，这是正常情况吗？ 2022-5-24 18:49 0
EX呵呵雪币： 295 活跃值： (4176) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 226 粉丝 6 关注私信	EX呵呵 18 楼 EX呵呵我把更新干掉了，但是start按钮还是灰的，这是正常情况吗？好像碰到暗装了，我再改改 2022-5-24 19:15 0
EX呵呵雪币： 295 活跃值： (4176) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 226 粉丝 6 关注私信	EX呵呵 19 楼原来是我这边缺驱动才崩溃的啊 2022-5-24 19:35 0
李刚ctt 雪币： 8317 活跃值： (3538) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 113 粉丝 4 关注私信	李刚ctt 20 楼是说看着眼熟，原来是ios越狱工具。。。。 2022-5-24 19:56 0
wx_孤城雪币： 3159 活跃值： (2839) 能力值： ( LV12，RANK：383 ) 在线值：发帖 15 回帖 32 粉丝 3 关注私信	wx_孤城 1 21 楼 EX呵呵好像碰到暗装了，我再改改正常的，按钮要插手机才会变亮。不过干掉更新线程的话它是不会变亮的 2022-5-25 09:24 0
wx_孤城雪币： 3159 活跃值： (2839) 能力值： ( LV12，RANK：383 ) 在线值：发帖 15 回帖 32 粉丝 3 关注私信	wx_孤城 1 22 楼你的TOKEN已经取好了，接下来干掉更新，加油，用5.0能成功不闪退，就算完成方案2了 2022-5-25 09:27 0
wx_孤城雪币： 3159 活跃值： (2839) 能力值： ( LV12，RANK：383 ) 在线值：发帖 15 回帖 32 粉丝 3 关注私信	wx_孤城 1 23 楼爱我佳鑫如楼下所言方案一二可以自己抓数据包写个本地的服务端, 再在hosts里把域名解析到本地运行不了的错误代码在这两个版本加的壳为虚拟机壳为:压缩壳为: 运行不了需要加命令行参数，是3个机器码的大写MD5 2022-5-25 14:23 0
EX呵呵雪币： 295 活跃值： (4176) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 226 粉丝 6 关注私信	EX呵呵 24 楼 wx_孤城你的TOKEN已经取好了，接下来干掉更新，加油，用5.0能成功不闪退，就算完成方案2了凎更新会闪退，我还在研究是触发了哪里的暗装 2022-5-25 15:44 0
微启宇雪币： 2925 活跃值： (6671) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 536 粉丝 51 关注私信	微启宇 25 楼 @wx_孤城其实你不用给钱我, 我都没干啥事... 你应该给这位兄 @EX呵呵他真正干事的人. 2022-5-30 20:28 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

wx_孤城

发帖

回帖

383

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (24)
微启宇雪币： 2925 活跃值： (6671) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 536 粉丝 51 关注私信	微启宇 (+40.00雪花) 2 楼如楼下所言方案一二可以自己抓数据包写个本地的服务端, 再在hosts里把域名解析到本地运行不了的错误代码在这两个版本加的壳为虚拟机壳为: 压缩壳为: 最后于 2022-5-24 17:12 被微启宇编辑，原因： 2022-5-23 21:22 (+40.00雪花) 0
EX呵呵雪币： 295 活跃值： (4176) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 226 粉丝 6 关注私信	EX呵呵 3 楼主要是里面的字符串加密和vm很恶心 2022-5-24 01:15 0
EX呵呵雪币： 295 活跃值： (4176) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 226 粉丝 6 关注私信	EX呵呵 4 楼 vm我觉得可以改vm库来dump部分函数的原型 2022-5-24 01:16 0
EX呵呵雪币： 295 活跃值： (4176) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 226 粉丝 6 关注私信	EX呵呵 5 楼字符串加密我勉强解开了 2022-5-24 01:16 0
chinasmu 雪币： 6270 活跃值： (3335) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 202 粉丝 2 关注私信	chinasmu 6 楼方案1自己Fiddler一下不是很容易吗 2022-5-24 02:22 0
EX呵呵雪币： 295 活跃值： (4176) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 226 粉丝 6 关注私信	EX呵呵 7 楼我这边提取出Opcode了，但分析每个Opcode代表什么我就无能为力了上传的附件： AgileDotNet.VMRuntime-cleaned.dll （497.50kb，4次下载） Opcode.txt （12.04kb，12次下载） 2022-5-24 02:38 0
EX呵呵雪币： 295 活跃值： (4176) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 226 粉丝 6 关注私信	EX呵呵 8 楼 EX呵呵我这边提取出Opcode了，但分析每个Opcode代表什么我就无能为力了这个只是Opcode值对应的函数的名字，程序的opcode提取不出来（这个程序根本运行不起来） 2022-5-24 02:39 0
mudebug 雪币： 9024 活跃值： (6245) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 308 粉丝 41 关注私信	mudebug 9 楼好了，这个帖子成功安利我下载了Eazfuscator.NET并安装上了。 2022-5-24 04:50 0
wx_孤城雪币： 3159 活跃值： (2839) 能力值： ( LV12，RANK：383 ) 在线值：发帖 15 回帖 32 粉丝 3 关注私信	wx_孤城 1 10 楼 EX呵呵这个只是Opcode值对应的函数的名字，程序的opcode提取不出来（这个程序根本运行不起来）用CMD 程序.exe TOKEN，它会验证命令行参数的TOKEN对不对，然后验证版本号。TOKEN是3个机器码信息的MD5 2022-5-24 09:26 0
wx_孤城雪币： 3159 活跃值： (2839) 能力值： ( LV12，RANK：383 ) 在线值：发帖 15 回帖 32 粉丝 3 关注私信	wx_孤城 1 11 楼 chinasmu 方案1自己Fiddler一下不是很容易吗除了改host，有什么好的解决方案么。想法是不改host，通过HOOK域名转IP的函数实现，但是在gethostbyname等DNS函数断点都断不下。 2022-5-24 09:28 0
chinasmu 雪币： 6270 活跃值： (3335) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 202 粉丝 2 关注私信	chinasmu 12 楼 5.1也打不开啊，官网有新版好像，不过俺下载不下来 2022-5-24 11:47 0
wx_孤城雪币： 3159 活跃值： (2839) 能力值： ( LV12，RANK：383 ) 在线值：发帖 15 回帖 32 粉丝 3 关注私信	wx_孤城 1 13 楼 chinasmu 5.1也打不开啊，官网有新版好像，不过俺下载不下来需要命令行执行， .exe token ， token是3个机器码的MD5，需要绕过 2022-5-24 14:27 0
EX呵呵雪币： 295 活跃值： (4176) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 226 粉丝 6 关注私信	EX呵呵 14 楼机器码是这几个值算的 WIN32_Processor.ProcessorId WIN32_ComputerSystemProduct.UUID Win32_BaseBoard.Product 2022-5-24 17:53 0
EX呵呵雪币： 295 活跃值： (4176) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 226 粉丝 6 关注私信	EX呵呵 (+60.00雪花) 15 楼我这边写了个算key工具，现在能进主界面了上传的附件： ~PA6HMSNLU)A@@`_[{_6K8P.png （37.38kb，3次下载） 2022-5-24 18:22 (+60.00雪花) 0
EX呵呵雪币： 295 活跃值： (4176) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 226 粉丝 6 关注私信	EX呵呵 16 楼 fiddler好像抓不到包我手动看了一下，更新地址是https://s13.iremovalpro.com/checkra1n.php 2022-5-24 18:29 0
EX呵呵雪币： 295 活跃值： (4176) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 226 粉丝 6 关注私信	EX呵呵 17 楼我把更新干掉了，但是start按钮还是灰的，这是正常情况吗？ 2022-5-24 18:49 0
EX呵呵雪币： 295 活跃值： (4176) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 226 粉丝 6 关注私信	EX呵呵 18 楼 EX呵呵我把更新干掉了，但是start按钮还是灰的，这是正常情况吗？好像碰到暗装了，我再改改 2022-5-24 19:15 0
EX呵呵雪币： 295 活跃值： (4176) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 226 粉丝 6 关注私信	EX呵呵 19 楼原来是我这边缺驱动才崩溃的啊 2022-5-24 19:35 0
李刚ctt 雪币： 8317 活跃值： (3538) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 113 粉丝 4 关注私信	李刚ctt 20 楼是说看着眼熟，原来是ios越狱工具。。。。 2022-5-24 19:56 0
wx_孤城雪币： 3159 活跃值： (2839) 能力值： ( LV12，RANK：383 ) 在线值：发帖 15 回帖 32 粉丝 3 关注私信	wx_孤城 1 21 楼 EX呵呵好像碰到暗装了，我再改改正常的，按钮要插手机才会变亮。不过干掉更新线程的话它是不会变亮的 2022-5-25 09:24 0
wx_孤城雪币： 3159 活跃值： (2839) 能力值： ( LV12，RANK：383 ) 在线值：发帖 15 回帖 32 粉丝 3 关注私信	wx_孤城 1 22 楼你的TOKEN已经取好了，接下来干掉更新，加油，用5.0能成功不闪退，就算完成方案2了 2022-5-25 09:27 0
wx_孤城雪币： 3159 活跃值： (2839) 能力值： ( LV12，RANK：383 ) 在线值：发帖 15 回帖 32 粉丝 3 关注私信	wx_孤城 1 23 楼爱我佳鑫如楼下所言方案一二可以自己抓数据包写个本地的服务端, 再在hosts里把域名解析到本地运行不了的错误代码在这两个版本加的壳为虚拟机壳为:压缩壳为: 运行不了需要加命令行参数，是3个机器码的大写MD5 2022-5-25 14:23 0
EX呵呵雪币： 295 活跃值： (4176) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 226 粉丝 6 关注私信	EX呵呵 24 楼 wx_孤城你的TOKEN已经取好了，接下来干掉更新，加油，用5.0能成功不闪退，就算完成方案2了凎更新会闪退，我还在研究是触发了哪里的暗装 2022-5-25 15:44 0
微启宇雪币： 2925 活跃值： (6671) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 536 粉丝 51 关注私信	微启宇 25 楼 @wx_孤城其实你不用给钱我, 我都没干啥事... 你应该给这位兄 @EX呵呵他真正干事的人. 2022-5-30 20:28 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复