[原创].NET程序对付CFF的一个方法！！-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
tease 雪币： 93 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 336 粉丝 0 关注私信	tease 2 楼太牛了，这都被你挖出来了，回去试一试。嘿嘿 2009-9-3 18:15 0
xnop 雪币： 88 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 150 粉丝 0 关注私信	xnop 3 楼好久不曾写.NET程序了 2009-9-4 16:17 0
hezhichun 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 47 粉丝 0 关注私信	hezhichun 4 楼请教楼主，一个混合模式编译的程序，如何修改托管部分的IL代码 2009-9-13 10:02 0
dotNetSafe 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 134 粉丝 0 关注私信	dotNetSafe 5 楼 IL代码想修改的话，直接就可修改啊，不过有签名的需要重新签名。前提是你熟悉IL指令。 2009-10-15 17:44 0
hezhichun 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 47 粉丝 0 关注私信	hezhichun 6 楼用RF的插件修改sqlite的动态库(混合编译)的,提示无法修改,有办法不 2009-10-16 09:03 0
dotNetSafe 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 134 粉丝 0 关注私信	dotNetSafe 7 楼二进制修改用UE啊，或者HEX 2009-10-16 09:32 0
dreamzgj 雪币： 1137 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 24 回帖 412 粉丝 0 关注私信	dreamzgj 2 8 楼有时候在用CFF打开一个dll文件时..点击#- 中的Tables时,CFF崩溃是什么原因呢? 我从Tables Header 的MaskValid的值查看也没有对应的MethodPtr表. 还请朋友指点 .............................................................................................................................. 晕..把#-改成#~后.用CLI PE Viewer在查看却发现真的存在MethocPtr,这是怎么一回事呢? (不明白的地方:MaskValid中并没有说明有MethodPtr,这个动态添加MethodPtr,CFF是表态的查看文件..怎么崩溃的呢???) 2009-11-8 01:55 0
dotNetSafe 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 134 粉丝 0 关注私信	dotNetSafe 9 楼有几个概念你还是不太明白 1>CFF就我目前能接触到的版本，还不支持#-(未压缩的元数据)格式的文件。 2>没有MethodPtr不代表没有FieldPtr等 3>崩溃的原因，无非是越界、内存溢出等。都是些小伎俩，不过很有用。如果这种小伎俩很多很多。那就起大作用了。 4>DNG**rd 就使用了这种未经压缩的元数据，不过是自己构的。推荐你使用一个开源的 Asmex.exe 查看器。 ------------------------------------------------------------------------------------------- 关于<1> 你可以发现MethodPtr后就是Method表，MaskValid确实显示存在MethodPtr,但是Tables显示不支持，所以CFF就会将MethodPtr的表按Method来解析，所以就全乱套了。另楼上的仁兄2点了都在工作，值得学习啊。佩服 2009-11-8 10:03 0
dreamzgj 雪币： 1137 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 24 回帖 412 粉丝 0 关注私信	dreamzgj 2 10 楼谢谢dotNetSafe的指点..这让我明白了不少. 呵呵..昨天心情不太好..睡不着,就看在坛子里下了个dll慢慢整着,一会就把烦心事给忘了谢谢dotNetSafe 学习了 2009-11-8 11:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
tease 雪币： 93 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 336 粉丝 0 关注私信	tease 2 楼太牛了，这都被你挖出来了，回去试一试。嘿嘿 2009-9-3 18:15 0
xnop 雪币： 88 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 150 粉丝 0 关注私信	xnop 3 楼好久不曾写.NET程序了 2009-9-4 16:17 0
hezhichun 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 47 粉丝 0 关注私信	hezhichun 4 楼请教楼主，一个混合模式编译的程序，如何修改托管部分的IL代码 2009-9-13 10:02 0
dotNetSafe 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 134 粉丝 0 关注私信	dotNetSafe 5 楼 IL代码想修改的话，直接就可修改啊，不过有签名的需要重新签名。前提是你熟悉IL指令。 2009-10-15 17:44 0
hezhichun 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 47 粉丝 0 关注私信	hezhichun 6 楼用RF的插件修改sqlite的动态库(混合编译)的,提示无法修改,有办法不 2009-10-16 09:03 0
dotNetSafe 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 134 粉丝 0 关注私信	dotNetSafe 7 楼二进制修改用UE啊，或者HEX 2009-10-16 09:32 0
dreamzgj 雪币： 1137 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 24 回帖 412 粉丝 0 关注私信	dreamzgj 2 8 楼有时候在用CFF打开一个dll文件时..点击#- 中的Tables时,CFF崩溃是什么原因呢? 我从Tables Header 的MaskValid的值查看也没有对应的MethodPtr表. 还请朋友指点 .............................................................................................................................. 晕..把#-改成#~后.用CLI PE Viewer在查看却发现真的存在MethocPtr,这是怎么一回事呢? (不明白的地方:MaskValid中并没有说明有MethodPtr,这个动态添加MethodPtr,CFF是表态的查看文件..怎么崩溃的呢???) 2009-11-8 01:55 0
dotNetSafe 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 134 粉丝 0 关注私信	dotNetSafe 9 楼有几个概念你还是不太明白 1>CFF就我目前能接触到的版本，还不支持#-(未压缩的元数据)格式的文件。 2>没有MethodPtr不代表没有FieldPtr等 3>崩溃的原因，无非是越界、内存溢出等。都是些小伎俩，不过很有用。如果这种小伎俩很多很多。那就起大作用了。 4>DNG**rd 就使用了这种未经压缩的元数据，不过是自己构的。推荐你使用一个开源的 Asmex.exe 查看器。 ------------------------------------------------------------------------------------------- 关于<1> 你可以发现MethodPtr后就是Method表，MaskValid确实显示存在MethodPtr,但是Tables显示不支持，所以CFF就会将MethodPtr的表按Method来解析，所以就全乱套了。另楼上的仁兄2点了都在工作，值得学习啊。佩服 2009-11-8 10:03 0
dreamzgj 雪币： 1137 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 24 回帖 412 粉丝 0 关注私信	dreamzgj 2 10 楼谢谢dotNetSafe的指点..这让我明白了不少. 呵呵..昨天心情不太好..睡不着,就看在坛子里下了个dll慢慢整着,一会就把烦心事给忘了谢谢dotNetSafe 学习了 2009-11-8 11:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复