首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
[原创].Net 2.0 通用反射脱壳机完整版
发表于: 2007-7-9 14:11 45712

[原创].Net 2.0 通用反射脱壳机完整版

rick 活跃值
7
2007-7-9 14:11
45712
之前发了一个实验品
http://bbs.pediy.com/showthread.php?t=45184

功能还不完善,这个是完整的版本。

能脱压缩壳,整体加密壳,有反射漏洞的加密壳。

方法:
采用的是注入方式,注入到目标进程。
注入后会看到一个列表界面。
在这个列表里面会显示出当前进程中的所有程序集。

首先在列表里面选择一个要脱壳的程序集。

然后选择保存路径。(注1)

在就脱壳。

程序使用的是 VS2005 C++/CLI 需要相关运行库 mfc80u.dll msvcr80.dll msvcm80.dll...

注1:程序没有实现PE dump功能,所以,你需要先使用 petools之类的工具 dump 要脱壳程序集的pe模块,保存到文件。然后在脱壳机界面选择保存路径时就选择 这个文件。

程序脱完后用 ildasm,ilasm ,然后就可以用reflector查看了。
或者直接脱完后用 Dis#查看。

[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法

上传的附件:
收藏
免费 7
支持
分享
最新回复 (48)
hawking
雪    币: 1969
活跃值: (46)
能力值: (RANK:550 )
在线值:
发帖
回帖
粉丝
私信
2
收藏 + 学习!
感谢Rick无私的分享!
2007-7-9 20:40
0
kanxue
雪    币: 44229
活跃值: (19955)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
私信
3
rick东西还是要收藏的
2007-7-9 20:45
0
tankaiha
雪    币: 5275
活跃值: (451)
能力值: (RANK:1170 )
在线值:
发帖
回帖
粉丝
私信
4
哈哈,rick大泄啊
2007-7-9 21:37
0
claudedb
雪    币: 221
活跃值: (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
5
倒,发布的真快最近
不过pedump还不会,得研究研究
2007-7-10 11:32
0
bstzxy
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
好东西!先收藏!谢谢!
2007-7-11 07:15
0
剑宗
雪    币: 206
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
脱壳之后有些变量和方法名不见了怎么修复啊
2007-7-11 10:08
0
claudedb
雪    币: 221
活跃值: (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
8
似乎不支持dll?
2007-7-11 10:26
0
rick
雪    币: 288
活跃值: (112)
能力值: ( LV12,RANK:290 )
在线值:
发帖
回帖
粉丝
私信
9
是名称混淆了,得反名称混淆。
我在工具版发过一个可以手动反的工具。

dll自己写一个exe来加载就行了。
2007-7-11 18:19
0
zhucheba
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
收藏 + 学习!
感谢Rick无私的分享!
2007-7-11 19:25
0
剑宗
雪    币: 206
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
11
有些maxtocode加密的程序,在IL代码中包含有prefixref的元素好像不可以脱壳
比如说一段方法内是这样的IL代码
.maxstack 2
    L_0000: prefixref
    L_0001: prefixref
    L_0002: prefixref
    L_0003: prefixref
    L_0004: prefixref
    L_0005: prefixref
    L_0006: prefixref
    L_0007: prefixref
    L_0008: prefixref
    L_0009: prefixref
    L_000a: prefixref
    L_000b: prefixref

rick看看有什么好的方法进行脱壳
2007-7-13 12:41
0
rick
雪    币: 288
活跃值: (112)
能力值: ( LV12,RANK:290 )
在线值:
发帖
回帖
粉丝
私信
12
这个只支持存在反射漏洞的加密壳。

maxtocode 3.1x 可以修复反射。

maxtocode 3.2 不能修复反射,只能从 jit层脱,无法用反射脱。
2007-7-13 13:09
0
剑宗
雪    币: 206
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
13
哦,那rick给大家讲讲如何利用jit进行脱壳啊
2007-7-13 17:06
0
rick
雪    币: 288
活跃值: (112)
能力值: ( LV12,RANK:290 )
在线值:
发帖
回帖
粉丝
私信
14
在我的blog里面有一些介绍文章
http://rick.cnblog.com

这里也有一篇
http://bbs.pediy.com/showthread.php?t=47728
2007-7-15 18:24
0
剑宗
雪    币: 206
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
15
rick文章有点难度啊,教我们做个实例吧,怎么样利用jit
2007-7-19 11:11
0
longbbyl
雪    币: 1022
活跃值: (292)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
16
rick东西还是要收藏.我喜欢
2007-7-20 20:32
0
diflay
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
17
太好了,试试看
2007-8-3 12:13
0
delod
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
18
收藏 ,谢谢!!
2007-8-18 19:25
0
gjgjgj
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
19
用不明白,能不能说明一下呢
不能选择 .dll   只能是.exe  而且还得运行
是不是这样啊?
2007-8-21 11:36
0
baswajava
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
20
TKS,但不知道怎么用:(
2007-10-2 12:43
0
破解学
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
22
好东西!先收藏!谢谢!
2008-3-15 18:33
0
liyongzhao
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
23
谢谢楼主提供。我帮你试试看好不好用,嘻嘻
2008-3-31 17:19
0
shcxd
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
24
这个不太好用 不过还是谢谢楼主的分享
2008-4-6 16:37
0
likuang
雪    币: 216
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
25
谢谢楼主的大公无私!!!!
2008-4-10 13:31
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//