问题已解决，请版主删帖。-软件逆向-看雪-安全社区|安全招聘|kanxue.com

问题已解决，请版主删帖。

2023-7-11 15:27 5505

问题已解决，请版主删帖。

mb_fdzmkugw 活跃值

2023-7-11 15:27

5505

此贴已删

[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》，视频+靶场+题目！助力进入CTF世界

最后于 2023-12-13 17:05 被mb_fdzmkugw编辑，原因：

#.NET平台

收藏・5

点赞・0

打赏

最新回复 (33) 1 2 ▶
mb_fdzmkugw 雪币： 742 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 24 粉丝 1 关注私信	mb_fdzmkugw 2023-7-11 16:25 2 楼 0 学习逆向路上的菜鸟，希望大佬们不啬赐教！！！
热咖啡雪币： 2426 活跃值： (2592) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 75 粉丝 2 关注私信	热咖啡 2023-7-11 17:17 3 楼 0 就一个文件吗，没有完整安装包？
mb_fdzmkugw 雪币： 742 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 24 粉丝 1 关注私信	mb_fdzmkugw 2023-7-11 17:27 4 楼 0 有的，大佬，我传到网盘上。链接：https://pan.baidu.com/s/14aR3SlUpzDO4vGcu8wfLWQ 提取码：z50j
mb_fdzmkugw 雪币： 742 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 24 粉丝 1 关注私信	mb_fdzmkugw 2023-7-11 17:28 5 楼 0 直接安装就行，无毒的
wandering 雪币： 305 活跃值： (5849) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 338 粉丝 24 关注私信	wandering 2023-7-12 00:45 6 楼 0 不太可能完全反混淆，要找关键点，反混淆出来，一样还是要找关键点！
mudebug 雪币： 8058 活跃值： (5255) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 302 粉丝 31 关注私信	mudebug 2023-7-12 02:14 7 楼 0 https://bbs.kanxue.com/thread-277868.htm 这是我写的加密流程，你这个文件是x86下用了Native Exe File选项，他已经把.net代码转换成了x86汇编代码不再以来IL了。所以还原也就失效了。但是可以通过反射获取到内存代码地址。然后调试器跑调试。还原代码就不怎么现实了。
mb_fdzmkugw 雪币： 742 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 24 粉丝 1 关注私信	mb_fdzmkugw 2023-7-12 08:22 8 楼 0 哦哦，我懂了，怪不得我怎么看着这么奇怪呢，根本看不出一点东西，谢谢 mudebug 大佬和 wandering 大佬的解答
mb_fdzmkugw 雪币： 742 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 24 粉丝 1 关注私信	mb_fdzmkugw 2023-7-12 08:26 9 楼 0 不过我感觉这也太复杂了，难整呀
EX呵呵雪币： 267 活跃值： (3234) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2023-7-12 08:51 10 楼 0 mb_fdzmkugw 不过我感觉这也太复杂了，难整呀我拆了下这个软件的安装包，发现这个软件好像忘删加密前的文件了
EX呵呵雪币： 267 活跃值： (3234) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2023-7-12 08:52 11 楼 0 mb_fdzmkugw 不过我感觉这也太复杂了，难整呀
EX呵呵雪币： 267 活跃值： (3234) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2023-7-12 08:55 12 楼 0 试了一下加密前的替换上去是能用的
EX呵呵雪币： 267 活跃值： (3234) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2023-7-12 09:05 13 楼 0 还发现了一个有意思的代码 if (Process.GetProcessesByName("kwgas").Length != 0) { ShowDialogUtil.ShowErrorDialog("发现电脑存在危险程序，无法登录。请关闭危险程序后再试", true); return false; }
mb_fdzmkugw 雪币： 742 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 24 粉丝 1 关注私信	mb_fdzmkugw 2023-7-12 09:12 14 楼 0 EX呵呵我拆了下这个软件的安装包，发现这个软件好像忘删加密前的文件了 EX呵呵老哥，牛啊！！！
mb_fdzmkugw 雪币： 742 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 24 粉丝 1 关注私信	mb_fdzmkugw 2023-7-12 09:13 15 楼 0 EX呵呵还发现了一个有意思的代码 if (Process.GetProcessesByName("kwgas").Length != 0) { ShowDialo ... 哈哈，这个检测
EX呵呵雪币： 267 活跃值： (3234) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2023-7-12 09:14 16 楼 0 AMTCAN.exe.duplicate1 这个文件是未加密的，可能是他打包的时候忘删了
mb_fdzmkugw 雪币： 742 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 24 粉丝 1 关注私信	mb_fdzmkugw 2023-7-12 09:15 17 楼 0 EX呵呵 AMTCAN.exe.duplicate1 这个文件是未加密的，可能是他打包的时候忘删了好的好的，太强啦，谢谢您，我可以接着分析了
mb_fdzmkugw 雪币： 742 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 24 粉丝 1 关注私信	mb_fdzmkugw 2023-7-12 09:16 18 楼 0 EX呵呵 AMTCAN.exe.duplicate1 这个文件是未加密的，可能是他打包的时候忘删了没想到还有这样的遗漏，都没有注意，这也能发现
EX呵呵雪币： 267 活跃值： (3234) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2023-7-12 09:17 19 楼 0 mb_fdzmkugw 好的好的，太强啦，谢谢您，我可以接着分析了[em_67][em_67] 这玩意基本上就相当于源代码了，解密什么的一目了然
mb_fdzmkugw 雪币： 742 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 24 粉丝 1 关注私信	mb_fdzmkugw 2023-7-12 09:24 20 楼 0 EX呵呵老哥，我这好像没有这个文件诶，这是为啥，无用everything也搜不出
EX呵呵雪币： 267 活跃值： (3234) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2023-7-12 09:25 21 楼 0 mb_fdzmkugw EX呵呵老哥，我这好像没有这个文件诶，这是为啥，无用everything也搜不出[em_4] 我直接拆的安装包，可能这玩意默认不释放？
EX呵呵雪币： 267 活跃值： (3234) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2023-7-12 09:26 22 楼 0 mb_fdzmkugw EX呵呵老哥，我这好像没有这个文件诶，这是为啥，无用everything也搜不出[em_4] 我用的lessmsi工具直接给msi拆了
mb_fdzmkugw 雪币： 742 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 24 粉丝 1 关注私信	mb_fdzmkugw 2023-7-12 09:28 23 楼 0 EX呵呵我直接拆的安装包，可能这玩意默认不释放？我也不清楚，不过直接安装，按照默认流程走的话，没有那个文件。
mb_fdzmkugw 雪币： 742 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 24 粉丝 1 关注私信	mb_fdzmkugw 2023-7-12 09:29 24 楼 0 EX呵呵我直接拆的安装包，可能这玩意默认不释放？拆安装包是什么操作，菜鸟不懂，哈哈
mb_fdzmkugw 雪币： 742 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 24 粉丝 1 关注私信	mb_fdzmkugw 2023-7-12 09:30 25 楼 0 EX呵呵我用的lessmsi工具直接给msi拆了哦哦，好的，我试试
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

mb_fdzmkugw

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (33) 1 2 ▶
mb_fdzmkugw 雪币： 742 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 24 粉丝 1 关注私信	mb_fdzmkugw 2023-7-11 16:25 2 楼 0 学习逆向路上的菜鸟，希望大佬们不啬赐教！！！
热咖啡雪币： 2426 活跃值： (2592) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 75 粉丝 2 关注私信	热咖啡 2023-7-11 17:17 3 楼 0 就一个文件吗，没有完整安装包？
mb_fdzmkugw 雪币： 742 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 24 粉丝 1 关注私信	mb_fdzmkugw 2023-7-11 17:27 4 楼 0 有的，大佬，我传到网盘上。链接：https://pan.baidu.com/s/14aR3SlUpzDO4vGcu8wfLWQ 提取码：z50j
mb_fdzmkugw 雪币： 742 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 24 粉丝 1 关注私信	mb_fdzmkugw 2023-7-11 17:28 5 楼 0 直接安装就行，无毒的
wandering 雪币： 305 活跃值： (5849) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 338 粉丝 24 关注私信	wandering 2023-7-12 00:45 6 楼 0 不太可能完全反混淆，要找关键点，反混淆出来，一样还是要找关键点！
mudebug 雪币： 8058 活跃值： (5255) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 302 粉丝 31 关注私信	mudebug 2023-7-12 02:14 7 楼 0 https://bbs.kanxue.com/thread-277868.htm 这是我写的加密流程，你这个文件是x86下用了Native Exe File选项，他已经把.net代码转换成了x86汇编代码不再以来IL了。所以还原也就失效了。但是可以通过反射获取到内存代码地址。然后调试器跑调试。还原代码就不怎么现实了。
mb_fdzmkugw 雪币： 742 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 24 粉丝 1 关注私信	mb_fdzmkugw 2023-7-12 08:22 8 楼 0 哦哦，我懂了，怪不得我怎么看着这么奇怪呢，根本看不出一点东西，谢谢 mudebug 大佬和 wandering 大佬的解答
mb_fdzmkugw 雪币： 742 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 24 粉丝 1 关注私信	mb_fdzmkugw 2023-7-12 08:26 9 楼 0 不过我感觉这也太复杂了，难整呀
EX呵呵雪币： 267 活跃值： (3234) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2023-7-12 08:51 10 楼 0 mb_fdzmkugw 不过我感觉这也太复杂了，难整呀我拆了下这个软件的安装包，发现这个软件好像忘删加密前的文件了
EX呵呵雪币： 267 活跃值： (3234) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2023-7-12 08:52 11 楼 0 mb_fdzmkugw 不过我感觉这也太复杂了，难整呀
EX呵呵雪币： 267 活跃值： (3234) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2023-7-12 08:55 12 楼 0 试了一下加密前的替换上去是能用的
EX呵呵雪币： 267 活跃值： (3234) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2023-7-12 09:05 13 楼 0 还发现了一个有意思的代码 if (Process.GetProcessesByName("kwgas").Length != 0) { ShowDialogUtil.ShowErrorDialog("发现电脑存在危险程序，无法登录。请关闭危险程序后再试", true); return false; }
mb_fdzmkugw 雪币： 742 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 24 粉丝 1 关注私信	mb_fdzmkugw 2023-7-12 09:12 14 楼 0 EX呵呵我拆了下这个软件的安装包，发现这个软件好像忘删加密前的文件了 EX呵呵老哥，牛啊！！！
mb_fdzmkugw 雪币： 742 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 24 粉丝 1 关注私信	mb_fdzmkugw 2023-7-12 09:13 15 楼 0 EX呵呵还发现了一个有意思的代码 if (Process.GetProcessesByName("kwgas").Length != 0) { ShowDialo ... 哈哈，这个检测
EX呵呵雪币： 267 活跃值： (3234) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2023-7-12 09:14 16 楼 0 AMTCAN.exe.duplicate1 这个文件是未加密的，可能是他打包的时候忘删了
mb_fdzmkugw 雪币： 742 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 24 粉丝 1 关注私信	mb_fdzmkugw 2023-7-12 09:15 17 楼 0 EX呵呵 AMTCAN.exe.duplicate1 这个文件是未加密的，可能是他打包的时候忘删了好的好的，太强啦，谢谢您，我可以接着分析了
mb_fdzmkugw 雪币： 742 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 24 粉丝 1 关注私信	mb_fdzmkugw 2023-7-12 09:16 18 楼 0 EX呵呵 AMTCAN.exe.duplicate1 这个文件是未加密的，可能是他打包的时候忘删了没想到还有这样的遗漏，都没有注意，这也能发现
EX呵呵雪币： 267 活跃值： (3234) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2023-7-12 09:17 19 楼 0 mb_fdzmkugw 好的好的，太强啦，谢谢您，我可以接着分析了[em_67][em_67] 这玩意基本上就相当于源代码了，解密什么的一目了然
mb_fdzmkugw 雪币： 742 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 24 粉丝 1 关注私信	mb_fdzmkugw 2023-7-12 09:24 20 楼 0 EX呵呵老哥，我这好像没有这个文件诶，这是为啥，无用everything也搜不出
EX呵呵雪币： 267 活跃值： (3234) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2023-7-12 09:25 21 楼 0 mb_fdzmkugw EX呵呵老哥，我这好像没有这个文件诶，这是为啥，无用everything也搜不出[em_4] 我直接拆的安装包，可能这玩意默认不释放？
EX呵呵雪币： 267 活跃值： (3234) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2023-7-12 09:26 22 楼 0 mb_fdzmkugw EX呵呵老哥，我这好像没有这个文件诶，这是为啥，无用everything也搜不出[em_4] 我用的lessmsi工具直接给msi拆了
mb_fdzmkugw 雪币： 742 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 24 粉丝 1 关注私信	mb_fdzmkugw 2023-7-12 09:28 23 楼 0 EX呵呵我直接拆的安装包，可能这玩意默认不释放？我也不清楚，不过直接安装，按照默认流程走的话，没有那个文件。
mb_fdzmkugw 雪币： 742 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 24 粉丝 1 关注私信	mb_fdzmkugw 2023-7-12 09:29 24 楼 0 EX呵呵我直接拆的安装包，可能这玩意默认不释放？拆安装包是什么操作，菜鸟不懂，哈哈
mb_fdzmkugw 雪币： 742 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 24 粉丝 1 关注私信	mb_fdzmkugw 2023-7-12 09:30 25 楼 0 EX呵呵我用的lessmsi工具直接给msi拆了哦哦，好的，我试试
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复