-
-
[原创].NET Reactor分析(适合.net新手实战入门)
-
2007-8-18 10:03
-
既然目前很多同学对.net的认识还停留在reflector+ildasm+ilasm通知的阶段,干脆,我再写一篇入门的,让大家都能看明白,动起手来也很简单。
.NET Reactor是EZIRIZ公司出品的一款.net保护软件,该软件保护.net软件的功能不错,可惜对自己的保护却是很弱。前几个版本的混淆强度挺大,很难定位关键代码,可最新的3.3.0.1版保护就太弱了。MegaX已经发布了它的破解,和他交流过程中发现思路我俩的思路有小差别,在此写出来。本文难度较低,适合初学.net的进行实战入门。
用CFF Explorer载入reactor的主程序,发现没有元数据,是个win32程序。通常来说这种.net程序是被加壳了。Reactor属于whole assembly保护,最大的弱点是完整程序集在内存中出现,脱壳的方法也很简单,用NET Unpacker直接脱既可。脱壳后可发现15个程序集(如图1),其中一个已经显出了reactor的图标,那便是该程序的真身。(注:现在已经有好几种加密壳无法使用NET Unpacker直接脱了,强度比整体保护大很多。)
图1 用NET Unpacker对整体保护的程序进行脱壳
用Reflector载入dump出的文件,发现其名称混淆形式如图2所示。真不知道EZIRIZ怎么想的,竟然混淆成这么短,且又好读又好记的名称。前几版的名称比该版本麻烦多了。
图2 很简单的名称混淆
下面看下流程混淆的形式,与前几个版本一样,使用一个跳转,中间加杂使堆栈溢出的指令,且每个方法的开头都是这三句:
反流程混淆的两种方法:一,用ildasm反编译成il,在EditPlus中搜索前三句指令,并替换为空,如图3所示。
图3 在EditPlus搜索流程混淆指令并替换
第二种方法,使用我很久以前发的流程混淆小工具replace,尤其对.net reactor这个软件,效果及好。
反流程混淆完成后,便可以用C#代码浏览了。所有的敏感代码都在入口方法中,爆破的方法很简单,添加一句将flag变量设为真的指令就行了,如下(不敢想像,居然没有校验):
有兴趣的同学可以跟出它对注册文件的判断。早期版本我跟过,后来它改进了。有两种扩展名,.v3lic和.license,应该也不难。
就到这,这个软件就这么简单,没什么好多说的。对.net有兴趣的同学可以进行实战的入门训练了。
.NET Reactor是EZIRIZ公司出品的一款.net保护软件,该软件保护.net软件的功能不错,可惜对自己的保护却是很弱。前几个版本的混淆强度挺大,很难定位关键代码,可最新的3.3.0.1版保护就太弱了。MegaX已经发布了它的破解,和他交流过程中发现思路我俩的思路有小差别,在此写出来。本文难度较低,适合初学.net的进行实战入门。
用CFF Explorer载入reactor的主程序,发现没有元数据,是个win32程序。通常来说这种.net程序是被加壳了。Reactor属于whole assembly保护,最大的弱点是完整程序集在内存中出现,脱壳的方法也很简单,用NET Unpacker直接脱既可。脱壳后可发现15个程序集(如图1),其中一个已经显出了reactor的图标,那便是该程序的真身。(注:现在已经有好几种加密壳无法使用NET Unpacker直接脱了,强度比整体保护大很多。)
图1 用NET Unpacker对整体保护的程序进行脱壳
用Reflector载入dump出的文件,发现其名称混淆形式如图2所示。真不知道EZIRIZ怎么想的,竟然混淆成这么短,且又好读又好记的名称。前几版的名称比该版本麻烦多了。
图2 很简单的名称混淆
下面看下流程混淆的形式,与前几个版本一样,使用一个跳转,中间加杂使堆栈溢出的指令,且每个方法的开头都是这三句:
L_0000: br L_0007 L_0005: pop L_0006: ldc.i4.0 L_0007: nop
反流程混淆的两种方法:一,用ildasm反编译成il,在EditPlus中搜索前三句指令,并替换为空,如图3所示。
图3 在EditPlus搜索流程混淆指令并替换
第二种方法,使用我很久以前发的流程混淆小工具replace,尤其对.net reactor这个软件,效果及好。
反流程混淆完成后,便可以用C#代码浏览了。所有的敏感代码都在入口方法中,爆破的方法很简单,添加一句将flag变量设为真的指令就行了,如下(不敢想像,居然没有校验):
[STAThread]
public static void uN(string[] A_0)
{
int num;
RSACryptoServiceProvider.UseMachineKeyStore = true;
bool flag = Gz();
flag = true;//添加的指令
111 = flag;
if (!flag)
{
110 = M0();
flag = false;
}
HTt.HCw = flag;
1LY.1LB(flag);
有兴趣的同学可以跟出它对注册文件的判断。早期版本我跟过,后来它改进了。有两种扩展名,.v3lic和.license,应该也不难。
就到这,这个软件就这么简单,没什么好多说的。对.net有兴趣的同学可以进行实战的入门训练了。
[培训]二进制漏洞攻防(第3期);满10人开班;模糊测试与工具使用二次开发;网络协议漏洞挖掘;Linux内核漏洞挖掘与利用;AOSP漏洞挖掘与利用;代码审计。
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
在黑防看看到你的大作了,原来是组长啊 哈哈 学习了
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
1.按你提供的方法,脱壳15个文件
2007-08-23 16:50 20,480 Unpacked_1.dll 2007-08-23 16:50 6,656 Unpacked_10.dll 2007-08-23 16:50 6,656 Unpacked_11.dll 2007-08-23 16:50 6,656 Unpacked_12.dll 2007-08-23 16:50 16,384 Unpacked_13.dll 2007-08-23 16:50 4,096 Unpacked_14.dll 2007-08-23 16:50 4,096 Unpacked_15.dll 2007-08-23 16:50 6,656 Unpacked_2.dll 2007-08-23 16:50 6,656 Unpacked_3.dll 2007-08-23 16:50 6,656 Unpacked_4.dll 2007-08-23 16:50 16,384 Unpacked_5.dll 2007-08-23 16:50 4,096 Unpacked_6.dll 2007-08-23 16:50 4,096 Unpacked_7.dll 2007-08-23 16:50 3,419,136 Unpacked_8.exe 2007-08-23 16:50 20,480 Unpacked_9.dll 2.然后用ildasm2.0 修改版载入Unpacket_8.exe   Dump 出的il文件头 // Microsoft (R) .NET Framework IL Disassembler. Version 2.0.50727.42 3.没有修改IL文件,直接用Ilasm编译回去 C:\Program Files\Microsoft Visual Studio 8\VC>ilasm "C:\Program Files\Eziriz\.NE T Reactor\ILCODE\Eziriz.il" /resource="C:\Program Files\Eziriz\.NET Reactor\ILCO DE\Eziriz.res" 中间代码省略 Method Implementations (total): 73 Resolving local member refs: 0 -> 0 defs, 0 refs, 0 unresolved Writing PE file Operation completed successfully 运行一下编译的Eziriz.exe,报错: 描述: Stopped working 问题签名: 问题事件名称: APPCRASH Application Name: Eziriz.exe Application Version: 3.3.0.1 Application Timestamp: 46ce399c Fault Module Name: KERNEL32.dll Fault Module Version: 6.0.6000.16386 Fault Module Timestamp: 4549bd80 Exception Code: e0434f4d Exception Offset: 0001b09e OS 版本: 6.0.6000.2.0.0.256.1 区域设置 ID: 2052 阅读隐私声明: http://go.microsoft.com/fwlink/?linkid=50163&clcid=0x0804 4.重新生成一次IL,册除所有的 IL_0000: br IL_0007
IL_0005: pop
IL_0006: ldc.i4.0
IL_0007: nop 5.ilasm回去,此时用fox载入已可以看到多数方法,但还有cctor是看不到。   6.COPY到程序目录运行出错 描述: Stopped working 问题签名: 问题事件名称: APPCRASH Application Name: Eziriz.exe Application Version: 3.3.0.1 Application Timestamp: 46ce3c1f Fault Module Name: KERNEL32.dll Fault Module Version: 6.0.6000.16386 Fault Module Timestamp: 4549bd80 Exception Code: e0434f4d Exception Offset: 0001b09e OS 版本: 6.0.6000.2.0.0.256.1 区域设置 ID: 2052 阅读隐私声明: http://go.microsoft.com/fwlink/?linkid=50163&clcid=0x0804 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
