[原创] de4dot-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创] de4dot

发表于: 2023-11-25 16:16 8829

[原创] de4dot

qux

2023-11-25 16:16

8829

de4dot是一个.NET程序反混淆工具，已经很久不维护了。
官网说可能会有执行风险，所以如果解混淆的是恶意程序，最好在隔离环境中操作。

github地址: https://github.com/de4dot/de4dot

fork项目，在 .github/workflows/build.yml 添加"workflow_dispatch"，前后对比如下：

这样就可以在 Actions 页面手动运行 workflow，运行之后在 Artifacts 下方可以看到生成的文件：

我下载的是 de4dot-net45

其实任意代码提交都会触发build逻辑，README.md随便改点什么都可以

ViRb3给de4dot添加了vanilla ConfuserEx的支持，看起来可以简化大量无用流程，还没试过效果

github地址: https://github.com/ViRb3/de4dot-cex

2023/11/20

name: GitHub CI
on:

  push:

    branches:

name: GitHub CI

on:

push:

branches:

name: GitHub CI
on:

  workflow_dispatch:

  push:

    branches:

name: GitHub CI

on:

workflow_dispatch:

push:

branches:

de4dot-net35

de4dot-net45

de4dot-netcoreapp2.1

de4dot-netcoreapp3.1

de4dot-net35

de4dot-net45

de4dot-netcoreapp2.1

de4dot-netcoreapp3.1

# 直接解混淆，一般效果还行，结果文件命名为"file1-cleaned"
de4dot.exe file1
# 可以一次处理多个文件
de4dot.exe file1 file2 file3
# 递归搜索.NET文件，处理后输出到output文件夹，-r表示recursively

de4dot.exe -r c:\my\files -ro c:\my\output
# -f指定输入文件，-o指定输出文件

de4dot.exe file1 -f file2 -o file2.out -f file3 -o file3.out
 
# 使用delegate(委托)的方式调用解密函数来解密字符串，最后使用解密后的字符串替换调用解密函数的逻辑，06012345、060ABCDE是解密函数的Token值
# !最好在沙箱或虚拟机中执行，因为会运行代码

de4dot.exe file1.dll --strtyp delegate --strtok 06012345 --strtok 060ABCDE
# 使用emulate(调用解密函数，模拟指令)的方式解密字符串
# !最好在沙箱或虚拟机中执行，因为会运行代码

de4dot.exe file1 --strtyp emulate --strtok 06000002
 
# Detect obfuscators and exit

de4dot.exe -d file1
# 对于未知的混淆工具，如果变量名、方法名等不符合相应正则，则重命名
# 可以处理变量名是一堆中文字符的情况

de4dot.exe --un-name "^[a-zA-Z_<{$][a-zA-Z_0-9<>{}$.`-]*$" file1

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

最后于 2024-1-5 22:16 被qux编辑，原因： de4dot最好在虚机执行 mobile46/de4dot修正为ViRb3/de4dot-cex

#.NET平台

收藏・9

免费・2

支持

最新回复 (4)
秋狝雪币： 3004 活跃值： (30866) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1568 粉丝 38 关注私信	秋狝 2 楼感谢分享 2023-11-25 21:33 1
zzcc 雪币： 243 活跃值： (247) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 377 粉丝 0 关注私信	zzcc 3 楼最近访问gtihub总是出问题，打不开呀 2024-10-17 17:00 0
qux 雪币： 13038 活跃值： (5708) 能力值： ( LV5，RANK：77 ) 在线值：发帖 33 回帖 127 粉丝 20 关注私信	qux 4 楼 zzcc 最近访问gtihub总是出问题，打不开呀用代理 2024-10-18 07:11 0
xingbing 雪币： 175 活跃值： (2511) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 1136 粉丝 2 关注私信	xingbing 5 楼 gtihub太别慢。 2024-10-18 15:33 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

qux

发帖

127

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (4)
秋狝雪币： 3004 活跃值： (30866) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1568 粉丝 38 关注私信	秋狝 2 楼感谢分享 2023-11-25 21:33 1
zzcc 雪币： 243 活跃值： (247) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 377 粉丝 0 关注私信	zzcc 3 楼最近访问gtihub总是出问题，打不开呀 2024-10-17 17:00 0
qux 雪币： 13038 活跃值： (5708) 能力值： ( LV5，RANK：77 ) 在线值：发帖 33 回帖 127 粉丝 20 关注私信	qux 4 楼 zzcc 最近访问gtihub总是出问题，打不开呀用代理 2024-10-18 07:11 0
xingbing 雪币： 175 活跃值： (2511) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 1136 粉丝 2 关注私信	xingbing 5 楼 gtihub太别慢。 2024-10-18 15:33 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复