首页
社区
课程
招聘
问题已解决,请版主删帖。
发表于: 2023-7-11 15:27 6279

问题已解决,请版主删帖。

2023-7-11 15:27
6279

此贴已删


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

最后于 2023-12-13 17:05 被mb_fdzmkugw编辑 ,原因:
收藏
免费 0
支持
分享
最新回复 (33)
雪    币: 768
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
2
学习逆向路上的菜鸟,希望大佬们不啬赐教!!!
2023-7-11 16:25
0
雪    币: 3402
活跃值: (3533)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
就一个文件 吗,没有完整安装包?
2023-7-11 17:17
0
雪    币: 768
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
4
有的,大佬,我传到网盘上。
链接:https://pan.baidu.com/s/14aR3SlUpzDO4vGcu8wfLWQ 
提取码:z50j
2023-7-11 17:27
0
雪    币: 768
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
5
直接安装就行,无毒的
2023-7-11 17:28
0
雪    币: 1641
活跃值: (7319)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
不太可能完全反混淆,要找关键点,反混淆出来,一样还是要找关键点!
2023-7-12 00:45
0
雪    币: 9014
活跃值: (6240)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
7
https://bbs.kanxue.com/thread-277868.htm
这是我写的加密流程,你这个文件是x86下用了Native Exe File选项,他已经把.net代码转换成了x86汇编代码不再以来IL了。所以还原也就失效了。但是可以通过反射获取到内存代码地址。然后调试器跑调试。还原代码就不怎么现实了。
2023-7-12 02:14
0
雪    币: 768
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
8
哦哦,我懂了,怪不得我怎么看着这么奇怪呢,根本看不出一点东西,谢谢 mudebug 大佬和 wandering 大佬的解答
2023-7-12 08:22
0
雪    币: 768
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
9
不过我感觉这也太复杂了,难整呀
2023-7-12 08:26
0
雪    币: 295
活跃值: (4176)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
mb_fdzmkugw 不过我感觉这也太复杂了,难整呀
我拆了下这个软件的安装包,发现这个软件好像忘删加密前的文件了
2023-7-12 08:51
0
雪    币: 295
活跃值: (4176)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
mb_fdzmkugw 不过我感觉这也太复杂了,难整呀

2023-7-12 08:52
0
雪    币: 295
活跃值: (4176)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12

试了一下加密前的替换上去是能用的

2023-7-12 08:55
0
雪    币: 295
活跃值: (4176)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
还发现了一个有意思的代码
                       if (Process.GetProcessesByName("kwgas").Length != 0)
                       {
                               ShowDialogUtil.ShowErrorDialog("发现电脑存在危险程序,无法登录。请关闭危险程序后再试", true);
                               return false;
                       }
2023-7-12 09:05
0
雪    币: 768
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
14
EX呵呵 我拆了下这个软件的安装包,发现这个软件好像忘删加密前的文件了
EX呵呵老哥,牛啊!!!
2023-7-12 09:12
0
雪    币: 768
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
15
EX呵呵 还发现了一个有意思的代码 if (Process.GetProcessesByName("kwgas").Length != 0) { ShowDialo ...
哈哈,这个检测
2023-7-12 09:13
0
雪    币: 295
活跃值: (4176)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
AMTCAN.exe.duplicate1 这个文件是未加密的,可能是他打包的时候忘删了
2023-7-12 09:14
0
雪    币: 768
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
17
EX呵呵 AMTCAN.exe.duplicate1 这个文件是未加密的,可能是他打包的时候忘删了
好的好的,太强啦,谢谢您,我可以接着分析了
2023-7-12 09:15
0
雪    币: 768
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
18
EX呵呵 AMTCAN.exe.duplicate1 这个文件是未加密的,可能是他打包的时候忘删了
没想到还有这样的遗漏,都没有注意,这也能发现
2023-7-12 09:16
0
雪    币: 295
活跃值: (4176)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
mb_fdzmkugw 好的好的,太强啦,谢谢您,我可以接着分析了[em_67][em_67]
这玩意基本上就相当于源代码了,解密什么的一目了然
2023-7-12 09:17
0
雪    币: 768
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
20
EX呵呵老哥,我这好像没有这个文件诶,这是为啥,无用everything也搜不出
2023-7-12 09:24
0
雪    币: 295
活跃值: (4176)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
mb_fdzmkugw EX呵呵老哥,我这好像没有这个文件诶,这是为啥,无用everything也搜不出[em_4]
我直接拆的安装包,可能这玩意默认不释放?
2023-7-12 09:25
0
雪    币: 295
活跃值: (4176)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
mb_fdzmkugw EX呵呵老哥,我这好像没有这个文件诶,这是为啥,无用everything也搜不出[em_4]
我用的lessmsi工具直接给msi拆了
2023-7-12 09:26
0
雪    币: 768
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
23
EX呵呵 我直接拆的安装包,可能这玩意默认不释放?
我也不清楚,不过直接安装,按照默认流程走的话,没有那个文件。
2023-7-12 09:28
0
雪    币: 768
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
24
EX呵呵 我直接拆的安装包,可能这玩意默认不释放?
拆安装包是什么操作,菜鸟不懂,哈哈
2023-7-12 09:29
0
雪    币: 768
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
25
EX呵呵 我用的lessmsi工具直接给msi拆了
哦哦,好的,我试试
2023-7-12 09:30
0
游客
登录 | 注册 方可回帖
返回
//