过去讲过,.net下加壳分两种,一种是像MaxtoCode那样,分Method加密解密,在内存中不存在完整的assembly。另一种是用传统的加壳技术,解密后原来完整的assembly会出现在内存中,这就给我们dump之提供了先决条件。Fox用的是第二种。可是断点下在哪儿呢?就下在“万能断点”,mscorjit.dll的compileMethod处,在我的机上是7906E7F4。在OD中下断,bp 7906E7F4。这里要注意,就是在入口点下断会显示地址无效,因为mscorjit.dll还没有被载入,运行一段后就可以下断了。
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
