[原创]MaxtoCode对.Net程序加密的原理及解密探讨一-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[原创]MaxtoCode对.Net程序加密的原理及解密探讨一

发表于: 2006-9-14 20:49 12517

[原创]MaxtoCode对.Net程序加密的原理及解密探讨一

rick

2006-9-14 20:49

12517

本文最早于2006-7-17发布在我的blog中。
http://www.cnblogs.com/rick/archive/2006/07/17/453150.html

这里研究的对象是 MaxtoCode 3.1试用版.这里只探讨程序代码的加密.

对.Net程序代码的加密过程如下:

1. 运行 ildasm 将程序集反编译成 il代码文件.

2. 对IL代码文件进行处理.(*)

3. 运行 ilasm 将 IL代码文件编译成程序文件.

4. 直接对程序文件中的il字节码加密.(**)

粗体表示的 2 , 4 是关键步骤.

我们先来看看第四步.这一步就是加密的关键步骤，这里就是使用MaxtoCode的加密算法对程序代码进行加密。

显然，对于破解来说最直接直观的方法就是对其第四步的逆向解密。

如果从这个方向去破解解密加密过的程序，那就像MaxtoCode号称的那样MAXTOCODE的强度建立在加密算法之上。

理论上方法是可行的，但是工作量是非常大的。

那么我们还有其它的路可行呢？

现在来看看第二步MaxtoCode都做了什么。

用vs2003建一个最简单的winform程序，然后用MaxtoCode加密试试。我们将第三步之后，第四步之前的exe文件拿来研究。这个时候的exe程序代码是还没有被加密的。可以reflector。

看看这个exe和我们直接的exe有什么区别：

1．增加了一个类InFaceMaxtoCode .

2．类都被增加了一个静态构造函数，在这个函数里面调用了InFaceMaxtoCode的一个静态函数Startup。

3．类的原有构造函数里面也增加了调用InFaceMaxtoCode.Startup的语句。

从这些来看，MaxtoCode的目的是要确保InFaceMaxtoCode.Startup 在程序中能够最早的运行。

这个行为和win32程序加壳很像，一般壳都是加密程序代码，然后修改程序的启动入口，首先执行壳的代码，完成程序的解密，然后再执行程序。一般壳有一个特点：加密是对整个程序，启动时也是整个程序完全解密，然后再执行。(我也见到过一个很特别的壳，程序是部分解密的，软件注册算法的那一块，是执行一部分解密一部分，然后之前解密的又被垃圾信息填充了。)

对于壳只要我们找对了时间和地点，就能从内存中得到我们需要的东西。

那么 MaxtoCode加密后的。Net程序呢？

先来看看 MaxtoCode的加密方式。用ildasm反编译加密后的程序，会报很多错误，这是正常的，从生产的IL文件看，各个类，函数都还在，只是函数体里面是只有ildasm的错误信息。显然是加密后的代码无法反编译。MaxtoCode对。Net程序的加密不是对程序整体的，而只是对函数体加密，程序类结构不变。有一点我们是很清楚的，加密后的程序要能够正常运行，在运行时肯定是需要解密的。而解密的关键就在InFaceMaxtoCode.Startup 里面。

现在我们来看看InFaceMaxtoCode.Startup 里面究竟做了什么。InFaceMaxtoCode 类的代码如下：

using System;
using System.IO;
using System.Reflection;
using System.Runtime.InteropServices;
using System.Text;

public class InFaceMaxtoCode
{
static InFaceMaxtoCode()
{
      InFaceMaxtoCode.started = false;
}

[DllImport("MRuntime3.dll", EntryPoint="CheckRuntime", CharSet=CharSet.Unicode, SetLastError=true, ExactSpelling=true)]
private static extern int A______();
[DllImport("KERNEL32.DLL", EntryPoint="GetModuleHandleA", CharSet=CharSet.Ansi, SetLastError=true, ExactSpelling=true)]
private static extern int B______(string x13d52f7d8e232e61);
private static string ByteToString(byte[] x5fc6100148519126)
{
      return Encoding.ASCII.GetString(x5fc6100148519126);
}

[DllImport("MRuntime3.dll", EntryPoint="MainDLL", CharSet=CharSet.Ansi, SetLastError=true, ExactSpelling=true)]
private static extern bool C______(int x19218ffab70283ef, int xe7ebe10fa44d8d49);
[DllImport("KERNEL32.DLL", EntryPoint="SetEnvironmentVariableA", CharSet=CharSet.Ansi, SetLastError=true, ExactSpelling=true)]
private static extern bool D______(string x427bb0e14ed9e9b1, string x84ee6c5b88919f4c);
public static void Startup()
{
      if (!InFaceMaxtoCode.started)
      {
         string text1 = "";
         string text2 = "MRuntime3.dll";
         if (AppDomain.CurrentDomain.RelativeSearchPath != null)
         {
            if (AppDomain.CurrentDomain.RelativeSearchPath.IndexOf(@":\") != -1)
            {
                  text1 = AppDomain.CurrentDomain.RelativeSearchPath;
            }
            else
            {
                  text1 = AppDomain.CurrentDomain.BaseDirectory + AppDomain.CurrentDomain.RelativeSearchPath;
            }
         }
         else
         {
            text1 = AppDomain.CurrentDomain.BaseDirectory;
         }
         string text3 = Environment.GetEnvironmentVariable("path");
         if (text3.IndexOf(text1) == -1)
         {
            InFaceMaxtoCode.D______("path", text3 + ";" + text1.Replace("/", @"\"));
         }
         if (text1.Substring(text1.Length - 1, 1) == @"\")
         {
            text1 = text1;
         }
         else
         {
            text1 = text1 + @"\";
         }
         if (File.Exists(text1 + text2) && !File.Exists(Path.GetTempPath() + text2))
         {
            File.Copy(text1 + text2, Path.GetTempPath() + text2);
         }
         if (text3.IndexOf(Path.GetTempPath()) == -1)
         {
            InFaceMaxtoCode.D______("path", text3 + ";" + Path.GetTempPath().Replace("/", @"\"));
         }
         int num1 = 5;
         num1 = InFaceMaxtoCode.A______();
         if (num1 == 0)
         {
            int num2 = InFaceMaxtoCode.B______(text2);
            int num3 = InFaceMaxtoCode.B______(Assembly.GetExecutingAssembly().Location);
            InFaceMaxtoCode.started = InFaceMaxtoCode.C______(num2, num3);
         }
         else
         {
            //一堆垃圾代码，报告启动错误信息的。
         }
      }
}

private static bool started;
}

Startup精简后的代码如下：
public static void Startup()
      {
      if (!InFaceMaxtoCode.started)
      {
         //准备运行库；
         int num1 = 5;
         num1 = InFaceMaxtoCode.A______();
         if (num1 == 0)
         {
            int num2 = InFaceMaxtoCode.B______(text2);
            int num3 = InFaceMaxtoCode.B______(Assembly.GetExecutingAssembly().Location);
            InFaceMaxtoCode.started = InFaceMaxtoCode.C______(num2, num3);
         }
         else
         {
            //一堆垃圾代码，报告启动错误信息的。
         }
      }

从代码里面我们看得到InFaceMaxtoCode.Startup 正常启动后，在整个程序集中只会运行一次。

关键函数是运行库的MainDLL，这个函数有两个参数，一个是运行库的句柄，一个是程序集的句柄。这个句柄实际上就是程序在内存中加载的位置。MaxtoCode加密后的程序都是对齐到0x1000的。

今天就到这里吧。

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・9

免费・7

支持

最新回复 (12)
rick 雪币： 288 活跃值： (112) 能力值： ( LV12，RANK：290 ) 在线值：发帖 23 回帖 207 粉丝 2 关注私信	rick 7 2 楼 MaxtoCode对.Net程序加密的原理及解密探讨二自上次写第一篇文章到现在不知不觉两个月过去了，这篇文章我们将介绍怎么获取解密后的IL字节代码。我们先回顾一下前文，在上一回我们提到“InFaceMaxtoCode.Startup 正常启动后，在整个程序集中只会运行一次。”。当时这种说法是很武断的，如果 “InFaceMaxtoCode.C______(num2, num3)” 的返回值总是 false的话，该函数就会被执行多次，不过根据后来动态调试的结果，我们证实了“InFaceMaxtoCode.C______(num2, num3)” 的返回值为 true，因此上次的说法是正确的。现在言归正传，怎么取得解密后的代码呢？大概两个方向， 1.正面交锋，直接攻破maxtocode的运行库。这就将问题直接回到了传统的win32层面，不过这个东西是业内人士写的在这方面的保护工作做得很好，像我这样的菜鸟就很难直接攻破了。我曾有一个设想，就是通过分析运行库找到解密函数的入口，然后弄一个stub dll，hook这个地方，把解密后的il代码dump出来。实际跟踪几次后我就放弃了。从跟踪到的信息来看，我猜测，运行库是通过 mscorwks.dll 挂接到 jit，在jit的前面实时解密代码。理论上我们也可以挂一个到jit前面，在那里dump解密的il代码，不过这个实现的方式，还不清楚，如果弄明白了，也就能写一个同样原理的加密软件了。这个难度比较大，所以我最终放弃了这个方案。 2.避开运行库，我们直接利用dotNet 2.0的特性获取IL代码。如是我就试着用2.0写了一个winform程序，加密，运行，发现报错。 maxtocode3.1不支持2.0的winform程序，这就使我的这个方案实验夭折了。两个月过去了，发现maxtocode升级到3.11了修正了这个bug，今天终于可以继续实验了。我们来建一个简单的winform程序。一个窗体，然后一个按钮。代码如下： 1 using System; 2 using System.Collections.Generic; 3 using System.ComponentModel; 4 using System.Data; 5 using System.Drawing; 6 using System.Text; 7 using System.Windows.Forms; 8 using System.Reflection; 9 using Spaces; 10 namespace Test5 11 { 12 public partial class Form1 : Form 13 { 14 public Form1() 15 { 16 InitializeComponent(); 17 } 18 19 private void TestMethod() 20 { 21 // [7/17/2006] 22 int i = 0; 23 i = 1; 24 i++; 25 if(i>0) 26 { 27 MessageBox.Show("OK"); 28 } 29 } 30 31 private void button1_Click(object sender, EventArgs e) 32 { 33 Type tp = this.GetType(); 34 35 MethodInfo mi = tp.GetMethod("TestMethod", 36 BindingFlags.NonPublic\|BindingFlags.DeclaredOnly\| 37 BindingFlags.Public\|BindingFlags.Static 38 \|BindingFlags.Instance); 39 if(mi == null) 40 { 41 MessageBox.Show("err"); 42 return; 43 } 44 MethodBody mb = mi.GetMethodBody(); 45 byte[] bt= mb.GetILAsByteArray(); 46 StringBuilder sb = new StringBuilder(); 47 for (int i = 0; i < bt.Length; i++) 48 { 49 sb.Append(bt[i].ToString("X2")); 50 sb.Append(" "); 51 } 52 string stxt = sb.ToString(); 53 MessageBox.Show(stxt); 54 55 } 56 57 } 58 } 编译运行，我们点击按钮就能看到 TestMethod 的IL字节码。然后用maxtocode加密在运行，同样能看到 TestMethod 的IL字节码。两次看到的结果一样的，这个是当然了，如果不一样，maxtocode就破坏了程序的正确性了。好了，我们的实验成功了。看到这里大家应该知道怎么获取解密后的IL代码了吧。这种方式比在内存里面找代码或者hook到maxtocode解密后dump代码的方式要优越很多，因为内存dump的方式你还要担心运行时的函数覆盖率，没有运行到的就dump不到。这种方式我们利用 DotNet的反射机制，可以枚举出程序集中的所有类型，以及每个类型的所有方法，成员，字段，构造函数等。初步实验了一下，对于加了密的dll文件还是比较好弄的，2.0的、1.1的都能弄出IL代码来。对于exe文件还有一关需要解决，那就是如何将我们的DotNet dll程序集插入到exe的运行空间中去。今回就先到这里了，下回再实际写程序演练获取解密后的IL字节代码。 ps:不知道大家手上是否有破解到的 Reflector 的源代码，如果有丢一份给我，感激不尽。 2006-9-14 20:50 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 3 楼 Reflector 的源代码找作者可以换 2006-9-14 21:31 0
kanxue 雪币： 47147 活跃值： (20380) 能力值： (RANK：350 ) 在线值：发帖 2374 回帖 17045 粉丝 538 关注私信	kanxue 8 4 楼这帖我置顶了，janson.NET不要找我麻烦，呵～，主要是大家多交流一下，进步快一些。如果不合适，可以与我联系：kanxue@001.cn 2006-9-14 21:33 0
huweiqi 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 48 粉丝 0 关注私信	huweiqi 5 楼好文，对楼主的敬仰如滔滔江水！谢谢！ 2006-9-15 09:04 0
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 6 楼对.net不懂,不过还是支持. 2006-9-15 09:53 0
tankaiha 雪币： 5275 活跃值： (451) 能力值： (RANK：1170 ) 在线值：发帖 92 回帖 563 粉丝 19 关注私信	tankaiha 29 7 楼来顶一下rick兄 2006-9-15 13:17 0
inraining 雪币： 234 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 15 回帖 411 粉丝 0 关注私信	inraining 2 8 楼好文，支持～ 2006-9-16 23:43 0
JasonNET 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 34 粉丝 0 关注私信	JasonNET 9 楼看雪大哥,没关系,互相进步嘛~~ 我也急时封住了这个2.0的新特性... 不过居我分析了解,rick这招已经搞死了一款与我类似的软件 Remotsoft protect. 听说,改了改代码,用别的方式又可以了.非常希望早日看到结果今天我把 1.1 和 2.0 的 Profiling 都试了试,均无法获取... 在这里,我必须感谢楼主为 Maxtocode 的完善作出的努力. 2006-10-15 21:26 0
JasonNET 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 34 粉丝 0 关注私信	JasonNET 10 楼另外补一句,请不要恶意发布针对性的脱机软件针对以前的版本~~,那可会有麻烦了. 呵呵,别告我恐吓... 2006-10-15 21:29 0
rick 雪币： 288 活跃值： (112) 能力值： ( LV12，RANK：290 ) 在线值：发帖 23 回帖 207 粉丝 2 关注私信	rick 7 11 楼 2006-10-23 10:55 0
tankaiha 雪币： 5275 活跃值： (451) 能力值： (RANK：1170 ) 在线值：发帖 92 回帖 563 粉丝 19 关注私信	tankaiha 29 12 楼首先，MaxtoCode是我所了解的现今所有.net壳中最强的，也是唯一没有被完整dump的。说remotesoft 和max类似，这实在是贬低max。所以，支持maxtocode。该怎么做大家都了解的，呵呵，这种事不用恐吓。其实发布了脱壳机，共享软件损失会很大，max当然也，呵呵。不过，我们什么时候写出脱机来不重要，据我了解，国外已经在做了。我手上就有此老外写的remotesoft protector的脱机，而且他正在写通用脱机。测试版还有点问题，不过想法很是犀利：所有利用hook .net系统dll的壳，一律脱。我很奇怪地问，不同的壳至少rebuild不一样吧，他说.net为我们做了一切。所以，jason应该更关注这个。 2006-10-23 20:43 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 13 楼牛B,对付MactoCode应该可以以壳解壳 BTW:怎么加入DRT? 2006-10-24 12:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

rick

发帖

207

回帖

290

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (12)
rick 雪币： 288 活跃值： (112) 能力值： ( LV12，RANK：290 ) 在线值：发帖 23 回帖 207 粉丝 2 关注私信	rick 7 2 楼 MaxtoCode对.Net程序加密的原理及解密探讨二自上次写第一篇文章到现在不知不觉两个月过去了，这篇文章我们将介绍怎么获取解密后的IL字节代码。我们先回顾一下前文，在上一回我们提到“InFaceMaxtoCode.Startup 正常启动后，在整个程序集中只会运行一次。”。当时这种说法是很武断的，如果 “InFaceMaxtoCode.C______(num2, num3)” 的返回值总是 false的话，该函数就会被执行多次，不过根据后来动态调试的结果，我们证实了“InFaceMaxtoCode.C______(num2, num3)” 的返回值为 true，因此上次的说法是正确的。现在言归正传，怎么取得解密后的代码呢？大概两个方向， 1.正面交锋，直接攻破maxtocode的运行库。这就将问题直接回到了传统的win32层面，不过这个东西是业内人士写的在这方面的保护工作做得很好，像我这样的菜鸟就很难直接攻破了。我曾有一个设想，就是通过分析运行库找到解密函数的入口，然后弄一个stub dll，hook这个地方，把解密后的il代码dump出来。实际跟踪几次后我就放弃了。从跟踪到的信息来看，我猜测，运行库是通过 mscorwks.dll 挂接到 jit，在jit的前面实时解密代码。理论上我们也可以挂一个到jit前面，在那里dump解密的il代码，不过这个实现的方式，还不清楚，如果弄明白了，也就能写一个同样原理的加密软件了。这个难度比较大，所以我最终放弃了这个方案。 2.避开运行库，我们直接利用dotNet 2.0的特性获取IL代码。如是我就试着用2.0写了一个winform程序，加密，运行，发现报错。 maxtocode3.1不支持2.0的winform程序，这就使我的这个方案实验夭折了。两个月过去了，发现maxtocode升级到3.11了修正了这个bug，今天终于可以继续实验了。我们来建一个简单的winform程序。一个窗体，然后一个按钮。代码如下： 1 using System; 2 using System.Collections.Generic; 3 using System.ComponentModel; 4 using System.Data; 5 using System.Drawing; 6 using System.Text; 7 using System.Windows.Forms; 8 using System.Reflection; 9 using Spaces; 10 namespace Test5 11 { 12 public partial class Form1 : Form 13 { 14 public Form1() 15 { 16 InitializeComponent(); 17 } 18 19 private void TestMethod() 20 { 21 // [7/17/2006] 22 int i = 0; 23 i = 1; 24 i++; 25 if(i>0) 26 { 27 MessageBox.Show("OK"); 28 } 29 } 30 31 private void button1_Click(object sender, EventArgs e) 32 { 33 Type tp = this.GetType(); 34 35 MethodInfo mi = tp.GetMethod("TestMethod", 36 BindingFlags.NonPublic\|BindingFlags.DeclaredOnly\| 37 BindingFlags.Public\|BindingFlags.Static 38 \|BindingFlags.Instance); 39 if(mi == null) 40 { 41 MessageBox.Show("err"); 42 return; 43 } 44 MethodBody mb = mi.GetMethodBody(); 45 byte[] bt= mb.GetILAsByteArray(); 46 StringBuilder sb = new StringBuilder(); 47 for (int i = 0; i < bt.Length; i++) 48 { 49 sb.Append(bt[i].ToString("X2")); 50 sb.Append(" "); 51 } 52 string stxt = sb.ToString(); 53 MessageBox.Show(stxt); 54 55 } 56 57 } 58 } 编译运行，我们点击按钮就能看到 TestMethod 的IL字节码。然后用maxtocode加密在运行，同样能看到 TestMethod 的IL字节码。两次看到的结果一样的，这个是当然了，如果不一样，maxtocode就破坏了程序的正确性了。好了，我们的实验成功了。看到这里大家应该知道怎么获取解密后的IL代码了吧。这种方式比在内存里面找代码或者hook到maxtocode解密后dump代码的方式要优越很多，因为内存dump的方式你还要担心运行时的函数覆盖率，没有运行到的就dump不到。这种方式我们利用 DotNet的反射机制，可以枚举出程序集中的所有类型，以及每个类型的所有方法，成员，字段，构造函数等。初步实验了一下，对于加了密的dll文件还是比较好弄的，2.0的、1.1的都能弄出IL代码来。对于exe文件还有一关需要解决，那就是如何将我们的DotNet dll程序集插入到exe的运行空间中去。今回就先到这里了，下回再实际写程序演练获取解密后的IL字节代码。 ps:不知道大家手上是否有破解到的 Reflector 的源代码，如果有丢一份给我，感激不尽。 2006-9-14 20:50 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 3 楼 Reflector 的源代码找作者可以换 2006-9-14 21:31 0
kanxue 雪币： 47147 活跃值： (20380) 能力值： (RANK：350 ) 在线值：发帖 2374 回帖 17045 粉丝 538 关注私信	kanxue 8 4 楼这帖我置顶了，janson.NET不要找我麻烦，呵～，主要是大家多交流一下，进步快一些。如果不合适，可以与我联系：kanxue@001.cn 2006-9-14 21:33 0
huweiqi 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 48 粉丝 0 关注私信	huweiqi 5 楼好文，对楼主的敬仰如滔滔江水！谢谢！ 2006-9-15 09:04 0
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 6 楼对.net不懂,不过还是支持. 2006-9-15 09:53 0
tankaiha 雪币： 5275 活跃值： (451) 能力值： (RANK：1170 ) 在线值：发帖 92 回帖 563 粉丝 19 关注私信	tankaiha 29 7 楼来顶一下rick兄 2006-9-15 13:17 0
inraining 雪币： 234 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 15 回帖 411 粉丝 0 关注私信	inraining 2 8 楼好文，支持～ 2006-9-16 23:43 0
JasonNET 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 34 粉丝 0 关注私信	JasonNET 9 楼看雪大哥,没关系,互相进步嘛~~ 我也急时封住了这个2.0的新特性... 不过居我分析了解,rick这招已经搞死了一款与我类似的软件 Remotsoft protect. 听说,改了改代码,用别的方式又可以了.非常希望早日看到结果今天我把 1.1 和 2.0 的 Profiling 都试了试,均无法获取... 在这里,我必须感谢楼主为 Maxtocode 的完善作出的努力. 2006-10-15 21:26 0
JasonNET 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 34 粉丝 0 关注私信	JasonNET 10 楼另外补一句,请不要恶意发布针对性的脱机软件针对以前的版本~~,那可会有麻烦了. 呵呵,别告我恐吓... 2006-10-15 21:29 0
rick 雪币： 288 活跃值： (112) 能力值： ( LV12，RANK：290 ) 在线值：发帖 23 回帖 207 粉丝 2 关注私信	rick 7 11 楼 2006-10-23 10:55 0
tankaiha 雪币： 5275 活跃值： (451) 能力值： (RANK：1170 ) 在线值：发帖 92 回帖 563 粉丝 19 关注私信	tankaiha 29 12 楼首先，MaxtoCode是我所了解的现今所有.net壳中最强的，也是唯一没有被完整dump的。说remotesoft 和max类似，这实在是贬低max。所以，支持maxtocode。该怎么做大家都了解的，呵呵，这种事不用恐吓。其实发布了脱壳机，共享软件损失会很大，max当然也，呵呵。不过，我们什么时候写出脱机来不重要，据我了解，国外已经在做了。我手上就有此老外写的remotesoft protector的脱机，而且他正在写通用脱机。测试版还有点问题，不过想法很是犀利：所有利用hook .net系统dll的壳，一律脱。我很奇怪地问，不同的壳至少rebuild不一样吧，他说.net为我们做了一切。所以，jason应该更关注这个。 2006-10-23 20:43 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 13 楼牛B,对付MactoCode应该可以以壳解壳 BTW:怎么加入DRT? 2006-10-24 12:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复