首页
社区
课程
招聘
[原创]实现自动脱壳被MaxtoCode加密的Net程序集
发表于: 2006-10-29 21:07 21518

[原创]实现自动脱壳被MaxtoCode加密的Net程序集

2006-10-29 21:07
21518

本次脱壳的测试对象是CodeLib 2 V14.9.2468.42911 更新日期是2006-10-5 目前的最新版本。

运行脱机程序到如下界面:



选中列表中的第二项,codelib.exe,选择一个保存路径,点击dump按钮,即可完成脱壳。
脱壳完的程序保存到codedump.exe。

注意这个文件是直接dump脱壳的结果,不能直接运行。
使用ildasm 反编译,然后打开il文件
查找 IL_0000:  call       void InFaceMaxtoCode::Startup()
替换为 //IL_0000:  call       void InFaceMaxtoCode::Startup()
即取消对 maxtocode 运行库的引用。
然后运行 ilasm 编译成exe文件。
放在codelib的安装目录中即可正常运行了。

下载地址:http://www.bbsftp.com/temp/codelib_dumped.rar
对 codelib注册算法有兴趣的可以下载回去研究研究。
注意:先重命名安装目录中的codelib.exe,然后解压缩放进去就可以运行了。
这个程序里面还有很多anti,不过都不重要了,可以通过直接修改il来去掉anti。

脱壳机暂时不准备公开,DRT小组内部共享。

这次先简单介绍一下原理,下次有机会再详细介绍一下如何实现通用的内存程序集dumper。

这个dumper首先按照 pe dumper的原理,从内存里面dump出pe文件。

然后在在pe文件中增加一个只读的section。用来放dump出来的 IL 码。

通过前面几篇帖子介绍的方法,利用net 2.0的新特性获取方法的methodbody,

然后根据methodbody中的信息重建ILHeader,Datatable,

将结果存入新section中,再修改相应method的rva指向新的位置。

对所有的方法都这样处理一遍,即可完成dump。

这种方式对压缩壳,加密壳一般都有效。


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 7
支持
分享
最新回复 (8)
雪    币: 331
活跃值: (56)
能力值: ( LV13,RANK:410 )
在线值:
发帖
回帖
粉丝
2
顶~~~~太牛了!
2006-10-29 21:14
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
牛人不能不顶!
2006-10-29 21:48
0
雪    币: 7309
活跃值: (3788)
能力值: (RANK:1130 )
在线值:
发帖
回帖
粉丝
4
下载地址:http://www.bbsftp.com/temp/codelib_dumped.rar

我这里下载不了,谁能传一份到看雪论坛?
2006-10-29 22:22
0
雪    币: 288
活跃值: (112)
能力值: ( LV12,RANK:290 )
在线值:
发帖
回帖
粉丝
5
文件太大传不上来。
2006-10-29 22:35
0
雪    币: 7309
活跃值: (3788)
能力值: (RANK:1130 )
在线值:
发帖
回帖
粉丝
6
换了一个网络,下载到了,谢谢
2006-10-30 00:16
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
下载不了,救命
2006-10-30 07:57
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
下载地址:http://www.bbsftp.com/temp/codelib_dumped.rar
下不了,
2007-4-21 20:36
0
雪    币: 125
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
哎,郁闷我有好几个软件都是用maxtocode加壳的,硬是拿他们没办法
2007-4-29 12:38
0
游客
登录 | 注册 方可回帖
返回
//