de4dot是一个.NET程序反混淆工具,已经很久不维护了。官网说可能会有执行风险,所以如果解混淆的是恶意程序,最好在隔离环境中操作。
github地址: 5f0K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6V1k6e0c8V1L8%4c8Q4x3V1k6V1k6e0c8V1L8%4b7`.
fork项目,在 .github/workflows/build.yml 添加"workflow_dispatch",前后对比如下:
这样就可以在 Actions 页面手动运行 workflow,运行之后在 Artifacts 下方可以看到生成的文件:
我下载的是 de4dot-net45
其实任意代码提交都会触发build逻辑,README.md随便改点什么都可以
ViRb3给de4dot添加了vanilla ConfuserEx的支持,看起来可以简化大量无用流程,还没试过效果
github地址: ad3K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6h3K9g2u0T1x3#2)9J5c8X3c8W2y4r3c8G2N6q4)9J5k6r3y4W2P5l9`.`.
2023/11/20
name: GitHub CI
on:
push:
branches:
workflow_dispatch:
de4dot
-
net35
net45
netcoreapp2.
1
netcoreapp3.
# 直接解混淆,一般效果还行,结果文件命名为"file1-cleaned"
de4dot.exe file1
# 可以一次处理多个文件
de4dot.exe file1 file2 file3
# 递归搜索.NET文件,处理后输出到output文件夹,-r表示recursively
de4dot.exe
r c:\my\files
ro c:\my\output
# -f指定输入文件,-o指定输出文件
f file2
o file2.out
f file3
o file3.out
# 使用delegate(委托)的方式调用解密函数来解密字符串,最后使用解密后的字符串替换调用解密函数的逻辑,06012345、060ABCDE是解密函数的Token值
# !最好在沙箱或虚拟机中执行,因为会运行代码
de4dot.exe file1.dll
strtyp delegate
strtok
06012345
060ABCDE
# 使用emulate(调用解密函数,模拟指令)的方式解密字符串
strtyp emulate
06000002
# Detect obfuscators and exit
d file1
# 对于未知的混淆工具,如果变量名、方法名等不符合相应正则,则重命名
# 可以处理变量名是一堆中文字符的情况
un
name
"^[a-zA-Z_<{$][a-zA-Z_0-9<>{}$.`-]*$"
file1
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
zzcc 最近访问gtihub总是出问题,打不开呀