问题已解决，请版主删帖。-软件逆向-看雪-安全社区|安全招聘|kanxue.com

问题已解决，请版主删帖。

发表于: 2023-7-11 15:27 6269

问题已解决，请版主删帖。

mb_fdzmkugw 活跃值

2023-7-11 15:27

6269

此贴已删

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

最后于 2023-12-13 17:05 被mb_fdzmkugw编辑，原因：

#.NET平台

收藏・5

免费・0

支持

最新回复 (33) 1 2 ▶
mb_fdzmkugw 雪币： 768 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 25 粉丝 1 关注私信	mb_fdzmkugw 2 楼学习逆向路上的菜鸟，希望大佬们不啬赐教！！！ 2023-7-11 16:25 0
热咖啡雪币： 3376 活跃值： (3498) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 77 粉丝 2 关注私信	热咖啡 3 楼就一个文件吗，没有完整安装包？ 2023-7-11 17:17 0
mb_fdzmkugw 雪币： 768 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 25 粉丝 1 关注私信	mb_fdzmkugw 4 楼有的，大佬，我传到网盘上。链接：https://pan.baidu.com/s/14aR3SlUpzDO4vGcu8wfLWQ 提取码：z50j 2023-7-11 17:27 0
mb_fdzmkugw 雪币： 768 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 25 粉丝 1 关注私信	mb_fdzmkugw 5 楼直接安装就行，无毒的 2023-7-11 17:28 0
wandering 雪币： 1379 活跃值： (7234) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 471 粉丝 34 关注私信	wandering 6 楼不太可能完全反混淆，要找关键点，反混淆出来，一样还是要找关键点！ 2023-7-12 00:45 0
mudebug 雪币： 8982 活跃值： (6200) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 307 粉丝 39 关注私信	mudebug 7 楼 https://bbs.kanxue.com/thread-277868.htm 这是我写的加密流程，你这个文件是x86下用了Native Exe File选项，他已经把.net代码转换成了x86汇编代码不再以来IL了。所以还原也就失效了。但是可以通过反射获取到内存代码地址。然后调试器跑调试。还原代码就不怎么现实了。 2023-7-12 02:14 0
mb_fdzmkugw 雪币： 768 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 25 粉丝 1 关注私信	mb_fdzmkugw 8 楼哦哦，我懂了，怪不得我怎么看着这么奇怪呢，根本看不出一点东西，谢谢 mudebug 大佬和 wandering 大佬的解答 2023-7-12 08:22 0
mb_fdzmkugw 雪币： 768 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 25 粉丝 1 关注私信	mb_fdzmkugw 9 楼不过我感觉这也太复杂了，难整呀 2023-7-12 08:26 0
EX呵呵雪币： 282 活跃值： (4151) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 225 粉丝 6 关注私信	EX呵呵 10 楼 mb_fdzmkugw 不过我感觉这也太复杂了，难整呀我拆了下这个软件的安装包，发现这个软件好像忘删加密前的文件了 2023-7-12 08:51 0
EX呵呵雪币： 282 活跃值： (4151) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 225 粉丝 6 关注私信	EX呵呵 11 楼 mb_fdzmkugw 不过我感觉这也太复杂了，难整呀 2023-7-12 08:52 0
EX呵呵雪币： 282 活跃值： (4151) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 225 粉丝 6 关注私信	EX呵呵 12 楼试了一下加密前的替换上去是能用的 2023-7-12 08:55 0
EX呵呵雪币： 282 活跃值： (4151) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 225 粉丝 6 关注私信	EX呵呵 13 楼还发现了一个有意思的代码 if (Process.GetProcessesByName("kwgas").Length != 0) { ShowDialogUtil.ShowErrorDialog("发现电脑存在危险程序，无法登录。请关闭危险程序后再试", true); return false; } 2023-7-12 09:05 0
mb_fdzmkugw 雪币： 768 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 25 粉丝 1 关注私信	mb_fdzmkugw 14 楼 EX呵呵我拆了下这个软件的安装包，发现这个软件好像忘删加密前的文件了 EX呵呵老哥，牛啊！！！ 2023-7-12 09:12 0
mb_fdzmkugw 雪币： 768 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 25 粉丝 1 关注私信	mb_fdzmkugw 15 楼 EX呵呵还发现了一个有意思的代码 if (Process.GetProcessesByName("kwgas").Length != 0) { ShowDialo ... 哈哈，这个检测 2023-7-12 09:13 0
EX呵呵雪币： 282 活跃值： (4151) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 225 粉丝 6 关注私信	EX呵呵 16 楼 AMTCAN.exe.duplicate1 这个文件是未加密的，可能是他打包的时候忘删了 2023-7-12 09:14 0
mb_fdzmkugw 雪币： 768 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 25 粉丝 1 关注私信	mb_fdzmkugw 17 楼 EX呵呵 AMTCAN.exe.duplicate1 这个文件是未加密的，可能是他打包的时候忘删了好的好的，太强啦，谢谢您，我可以接着分析了 2023-7-12 09:15 0
mb_fdzmkugw 雪币： 768 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 25 粉丝 1 关注私信	mb_fdzmkugw 18 楼 EX呵呵 AMTCAN.exe.duplicate1 这个文件是未加密的，可能是他打包的时候忘删了没想到还有这样的遗漏，都没有注意，这也能发现 2023-7-12 09:16 0
EX呵呵雪币： 282 活跃值： (4151) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 225 粉丝 6 关注私信	EX呵呵 19 楼 mb_fdzmkugw 好的好的，太强啦，谢谢您，我可以接着分析了[em_67][em_67] 这玩意基本上就相当于源代码了，解密什么的一目了然 2023-7-12 09:17 0
mb_fdzmkugw 雪币： 768 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 25 粉丝 1 关注私信	mb_fdzmkugw 20 楼 EX呵呵老哥，我这好像没有这个文件诶，这是为啥，无用everything也搜不出 2023-7-12 09:24 0
EX呵呵雪币： 282 活跃值： (4151) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 225 粉丝 6 关注私信	EX呵呵 21 楼 mb_fdzmkugw EX呵呵老哥，我这好像没有这个文件诶，这是为啥，无用everything也搜不出[em_4] 我直接拆的安装包，可能这玩意默认不释放？ 2023-7-12 09:25 0
EX呵呵雪币： 282 活跃值： (4151) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 225 粉丝 6 关注私信	EX呵呵 22 楼 mb_fdzmkugw EX呵呵老哥，我这好像没有这个文件诶，这是为啥，无用everything也搜不出[em_4] 我用的lessmsi工具直接给msi拆了 2023-7-12 09:26 0
mb_fdzmkugw 雪币： 768 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 25 粉丝 1 关注私信	mb_fdzmkugw 23 楼 EX呵呵我直接拆的安装包，可能这玩意默认不释放？我也不清楚，不过直接安装，按照默认流程走的话，没有那个文件。 2023-7-12 09:28 0
mb_fdzmkugw 雪币： 768 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 25 粉丝 1 关注私信	mb_fdzmkugw 24 楼 EX呵呵我直接拆的安装包，可能这玩意默认不释放？拆安装包是什么操作，菜鸟不懂，哈哈 2023-7-12 09:29 0
mb_fdzmkugw 雪币： 768 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 25 粉丝 1 关注私信	mb_fdzmkugw 25 楼 EX呵呵我用的lessmsi工具直接给msi拆了哦哦，好的，我试试 2023-7-12 09:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

mb_fdzmkugw

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (33) 1 2 ▶
mb_fdzmkugw 雪币： 768 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 25 粉丝 1 关注私信	mb_fdzmkugw 2 楼学习逆向路上的菜鸟，希望大佬们不啬赐教！！！ 2023-7-11 16:25 0
热咖啡雪币： 3376 活跃值： (3498) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 77 粉丝 2 关注私信	热咖啡 3 楼就一个文件吗，没有完整安装包？ 2023-7-11 17:17 0
mb_fdzmkugw 雪币： 768 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 25 粉丝 1 关注私信	mb_fdzmkugw 4 楼有的，大佬，我传到网盘上。链接：https://pan.baidu.com/s/14aR3SlUpzDO4vGcu8wfLWQ 提取码：z50j 2023-7-11 17:27 0
mb_fdzmkugw 雪币： 768 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 25 粉丝 1 关注私信	mb_fdzmkugw 5 楼直接安装就行，无毒的 2023-7-11 17:28 0
wandering 雪币： 1379 活跃值： (7234) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 471 粉丝 34 关注私信	wandering 6 楼不太可能完全反混淆，要找关键点，反混淆出来，一样还是要找关键点！ 2023-7-12 00:45 0
mudebug 雪币： 8982 活跃值： (6200) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 307 粉丝 39 关注私信	mudebug 7 楼 https://bbs.kanxue.com/thread-277868.htm 这是我写的加密流程，你这个文件是x86下用了Native Exe File选项，他已经把.net代码转换成了x86汇编代码不再以来IL了。所以还原也就失效了。但是可以通过反射获取到内存代码地址。然后调试器跑调试。还原代码就不怎么现实了。 2023-7-12 02:14 0
mb_fdzmkugw 雪币： 768 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 25 粉丝 1 关注私信	mb_fdzmkugw 8 楼哦哦，我懂了，怪不得我怎么看着这么奇怪呢，根本看不出一点东西，谢谢 mudebug 大佬和 wandering 大佬的解答 2023-7-12 08:22 0
mb_fdzmkugw 雪币： 768 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 25 粉丝 1 关注私信	mb_fdzmkugw 9 楼不过我感觉这也太复杂了，难整呀 2023-7-12 08:26 0
EX呵呵雪币： 282 活跃值： (4151) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 225 粉丝 6 关注私信	EX呵呵 10 楼 mb_fdzmkugw 不过我感觉这也太复杂了，难整呀我拆了下这个软件的安装包，发现这个软件好像忘删加密前的文件了 2023-7-12 08:51 0
EX呵呵雪币： 282 活跃值： (4151) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 225 粉丝 6 关注私信	EX呵呵 11 楼 mb_fdzmkugw 不过我感觉这也太复杂了，难整呀 2023-7-12 08:52 0
EX呵呵雪币： 282 活跃值： (4151) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 225 粉丝 6 关注私信	EX呵呵 12 楼试了一下加密前的替换上去是能用的 2023-7-12 08:55 0
EX呵呵雪币： 282 活跃值： (4151) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 225 粉丝 6 关注私信	EX呵呵 13 楼还发现了一个有意思的代码 if (Process.GetProcessesByName("kwgas").Length != 0) { ShowDialogUtil.ShowErrorDialog("发现电脑存在危险程序，无法登录。请关闭危险程序后再试", true); return false; } 2023-7-12 09:05 0
mb_fdzmkugw 雪币： 768 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 25 粉丝 1 关注私信	mb_fdzmkugw 14 楼 EX呵呵我拆了下这个软件的安装包，发现这个软件好像忘删加密前的文件了 EX呵呵老哥，牛啊！！！ 2023-7-12 09:12 0
mb_fdzmkugw 雪币： 768 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 25 粉丝 1 关注私信	mb_fdzmkugw 15 楼 EX呵呵还发现了一个有意思的代码 if (Process.GetProcessesByName("kwgas").Length != 0) { ShowDialo ... 哈哈，这个检测 2023-7-12 09:13 0
EX呵呵雪币： 282 活跃值： (4151) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 225 粉丝 6 关注私信	EX呵呵 16 楼 AMTCAN.exe.duplicate1 这个文件是未加密的，可能是他打包的时候忘删了 2023-7-12 09:14 0
mb_fdzmkugw 雪币： 768 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 25 粉丝 1 关注私信	mb_fdzmkugw 17 楼 EX呵呵 AMTCAN.exe.duplicate1 这个文件是未加密的，可能是他打包的时候忘删了好的好的，太强啦，谢谢您，我可以接着分析了 2023-7-12 09:15 0
mb_fdzmkugw 雪币： 768 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 25 粉丝 1 关注私信	mb_fdzmkugw 18 楼 EX呵呵 AMTCAN.exe.duplicate1 这个文件是未加密的，可能是他打包的时候忘删了没想到还有这样的遗漏，都没有注意，这也能发现 2023-7-12 09:16 0
EX呵呵雪币： 282 活跃值： (4151) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 225 粉丝 6 关注私信	EX呵呵 19 楼 mb_fdzmkugw 好的好的，太强啦，谢谢您，我可以接着分析了[em_67][em_67] 这玩意基本上就相当于源代码了，解密什么的一目了然 2023-7-12 09:17 0
mb_fdzmkugw 雪币： 768 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 25 粉丝 1 关注私信	mb_fdzmkugw 20 楼 EX呵呵老哥，我这好像没有这个文件诶，这是为啥，无用everything也搜不出 2023-7-12 09:24 0
EX呵呵雪币： 282 活跃值： (4151) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 225 粉丝 6 关注私信	EX呵呵 21 楼 mb_fdzmkugw EX呵呵老哥，我这好像没有这个文件诶，这是为啥，无用everything也搜不出[em_4] 我直接拆的安装包，可能这玩意默认不释放？ 2023-7-12 09:25 0
EX呵呵雪币： 282 活跃值： (4151) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 225 粉丝 6 关注私信	EX呵呵 22 楼 mb_fdzmkugw EX呵呵老哥，我这好像没有这个文件诶，这是为啥，无用everything也搜不出[em_4] 我用的lessmsi工具直接给msi拆了 2023-7-12 09:26 0
mb_fdzmkugw 雪币： 768 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 25 粉丝 1 关注私信	mb_fdzmkugw 23 楼 EX呵呵我直接拆的安装包，可能这玩意默认不释放？我也不清楚，不过直接安装，按照默认流程走的话，没有那个文件。 2023-7-12 09:28 0
mb_fdzmkugw 雪币： 768 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 25 粉丝 1 关注私信	mb_fdzmkugw 24 楼 EX呵呵我直接拆的安装包，可能这玩意默认不释放？拆安装包是什么操作，菜鸟不懂，哈哈 2023-7-12 09:29 0
mb_fdzmkugw 雪币： 768 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 25 粉丝 1 关注私信	mb_fdzmkugw 25 楼 EX呵呵我用的lessmsi工具直接给msi拆了哦哦，好的，我试试 2023-7-12 09:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复