反编译 .NETZ 压缩过的exe程序

最新推荐文章于 2024-04-21 15:29:37 发布
最新推荐文章于 2024-04-21 15:29:37 发布
阅读量1.5k 收藏 3
点赞数
分类专栏: ASP.NET C# 文章标签: exe assembly exception .net stream null 
在网上下载了一个程序,觉得程序功能不错,看程序界面像是用.NET写的(用PEiD查看了,检测结果是Microsoft Visual C# / Basic .NET),于是想用 .NET Reflector反编译看一下代码,如下图:

结果发现这个程序使用.NETZ 压缩过了,整个程序用 .NET Reflector反编译后就只得到了NetzStarter.cs文件和一个资源文件app.resx。
  打开NetzStarter.cs文件,可以看出这是一个引导程序,实现了动态的加载和卸载dll文件及程序资源,我们来看Main函数:

 [STAThread]
        public static int Main(string[] args)
        {
            try
            {
                InitXR();
                AppDomain.CurrentDomain.AssemblyResolve += new ResolveEventHandler(NetzStarter.NetzResolveEventHandler);
                return StartApp(args);
            }
            catch (Exception exception)
            {
                string str = " .NET Runtime: ";
                Log(string.Concat(new object[] { "#Error: ", exception.GetType().ToString(), Environment.NewLine, exception.Message, Environment.NewLine, exception.StackTrace, Environment.NewLine, exception.InnerException, Environment.NewLine, "Using", str, Environment.Version.ToString(), Environment.NewLine, "Created with", str, "2.0.50727.4927" }));
                return -1;
            }
        }
Main函数调用了StartApp(args)函数:
public static int StartApp(string[] args)
        {
            byte[] resource = GetResource("A6C24BF5-3690-4982-887E-11E1B159B249");
            if (resource == null)
            {
                throw new Exception("application data cannot be found");
            }
            int num = InvokeApp(GetAssembly(resource), args);
            resource = null;
            return num;
        }

可以看出,程序动态的获取了一个名为“A6C24BF5-3690-4982-887E-11E1B159B249” 的文件。

再看调用的GetResource()函数片段:
            byte[] buffer = null;
            if (rm == null)
            {
                rm = new ResourceManager("app", Assembly.GetExecutingAssembly());
            }

它获取了一个名为app的资源文件,这正是我们在.NET Reflector中看到的 app.resources,我们再用.NET Reflector查看其内容,发现其中包含一个zip.dll和一个GUID号为 A6C24BF5-3690-4982-887E-11E1B159B249 的文件。


这个GUID号为 A6C24BF5-3690-4982-887E-11E1B159B249 的文件 正是原始exe文件压缩后的二进制文件!
  我们将这个文件解压缩成二进制exe文件就达到目的了,怎么解压缩呢?我们来看看压缩过的程序是怎样执行的。

StartApp()函数中引用了一个GetAssembly()函数,它的功能是将二进制比特流转换成程序集:

private static Assembly GetAssembly(byte[] data)
        {
            MemoryStream stream = null;
            Assembly assembly = null;
            try
            {
                stream = UnZip(data);
                stream.Seek(0L, SeekOrigin.Begin);
                assembly = Assembly.Load(stream.ToArray());
            }
            finally
            {
                if (stream != null)
                {
                    stream.Close();
                }
                stream = null;
            }
            return assembly;
        }

函数引用了一个UnZip()函数,这正是我们正要找的解压缩函数!
  下面的代码将完成 从GUID号为 A6C24BF5-3690-4982-887E-11E1B159B249 的文件到原始 exe文件的解压缩:

string file = "A6C24BF5-3690-4982-887E-11E1B159B249";
            byte[] b = File.ReadAllBytes(file);
            file += ".exe";
            using (MemoryStream ms = UnZip(b))
            {
                byte[] outBytes = ms.GetBuffer();
                File.WriteAllBytes(file, outBytes);
            }

为了方便操作,我写了一个GUI界面的程序 Cracking .NETZ (下载链接在文章结尾)来实现上述解压缩功能。要得到这个GUID号为 A6C24BF5-3690-4982-887E-11E1B159B249 的文件,只需在.NET Reflector中 Save As 就可以了。文章结尾有测试用的文件下载。


.NETZ是一个开源的支持.NET程序压缩的工具,它也可以将一个EXE和多个DLL合并在一起执行,主要是为了减小程序的体积和加快程序的加载速度,可以起到一定的混淆代码效果。
  我们来看一个使用.NETZ 压缩的例子(关于.NETZ的使用方法可以参看官方的文档和帮助):


我们可以看到,源程序从 2375KB减小到了476KB,压缩了80%!但并不是所有的程序都能达到这么高的压缩率的。
  它的官网是 http://madebits.com/ 当前最新的是net2.0编译的,不知道是否支持3.0以上的net程序压缩,大家可以尝试一下。



下载 .NETZ 

下载 Cracking .NETZ

下载 A6C24BF5-3690-4982-887E-11E1B159B249

下载 NetzStarter.cs


原创链接地址:http://www.cnblogs.com/moneyriver2006/archive/2010/02/22/1670826.html


地方门户网站系统
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
开源工具NetZ(合并Exe、Dll,并混淆代码)中文版
06-01
奇猫居-神游天地间:http://www.qimao.cn 用法如下:(以下产生的文件都是在exe文件的一个新的子文件夹中) 如果要压缩一个EXE程序,只需要执行: netz app.exe (这样会产生一个zip.dll 文件) 如果要去除这个dll文件,可以执行: netz -z app.exe如果要指定图标,可以执行: netz app.exe -i app.ico 如果要指定版本,使用-n参数 如果程序是控制台程序,需要执行: netz -c app.exe 如果要压缩exe文件和dll文件,可以执行: netz app.exe lib1.dll lib2.dll 产生一个exe类型的单文件,可以执行:(也会产生一个zip.dll文件,要去除这个文件可以使用-z参数) netz -s app.exe lib1.dll lib2.dll netz -s -z app.exe lib1.dll -so(一般使用这几组命令生成一个单文件) 前题:把您的程序放在netz目录下,或者在 netz命令时,指定目录 例:netz -s -z D:\原创软件\QiMao_cn.exe D:\原创软件\XPTable.dll -so
计算机指令netz,.netzunpack(netZ压缩程序解压工具)
weixin_42515340的博客
07-24 334
本帖最后由 gfjykldd 于 2018-3-6 23:03 编辑1. 背景原因:最近在学习一款洪水模拟软件,发现该程序为一款.netz压缩.net程序(WPF+C#),如下图。01.洪水程序检测.png (145.77 KB, 下载次数: 2)洪水程序检测2018-3-6 21:01 上传用dnSpy打开后的代码如下图:02.洪水程序反编译.png (1.18 MB, 下载次数: 1)...
推荐一个.Net应用程序压缩打包工具.Netz
大道至简的专栏
09-20 1690
<br />      今天在开源中国(www.oschina.com)上发现了一个非常好的开源工具.NETZ,用它可以将.net 程序的可执行文件和依赖的Dll文件打包压缩成一个.exe文件,这样在部署应用程序时就不用带那么多的Dll了,一个文件搞定!<br />下载地址为http://madebits.com/netz/download.php,下载后解压到任意文件夹,比如C:/netz-bin-20,将这个目录添加到系统的环境变量中去,因为该工具是基于命令行的。<br />要打包程序,先在命令行下转到
.NET程序加壳的基本原理和方式
wwjshao的专栏
08-26 5123
概述:传统的非托管程序,加壳的对象是汇编指令;对.NET程序的加壳对象则是元数据和IL代码。对.NET程序的加壳,在理论和方式上并没有什么创新,目前都是直接继承与Windows程序的加壳理论和方法。大部分.NET加壳工具也是传统的加壳工具在自身功能上提供了扩展。纯.NET实现的加壳工具还是很少。加壳的方式很多,我们这里以常见的托管压缩壳为例进行讲解。   加壳是一种常用的保护应用程序
.NETZ
12-05
.NETZ is a open source tool that compresses and packs the Microsoft .NET Framework executable (EXE, DLL) files in order to make them smaller. Smaller executables consume less disk space and load faster because of fewer disk accesses. Unlike other portable executable (PE) packers, .NETZ uses a pure .NET solution and it is written in C#. .NETZ can be used to pack .NET executables written in almost every .NET language. .NETZ supports both .NET EXE and non-shared DLL files, and it is intended to pack .NET desktop applications. The compressed applications can be used in the same way as the uncompressed ones, transparently to the end user. .NETZ does not pack the .NET run-time. A proper installed .NET run-time must be present in the machine where you run the packed applications. The technique that .NETZ uses is not supported by .NET Compact Framework.
.NETZ 原理分析
weixin_30907935的博客
10-16 161
.NETZ - .NET Executables Compressor .NETZ compresses the Microsoft .NET Framework executable files in order to make them smaller. Smaller executables consume less disk space and load faster becaus...
简单操作让你的.NET托管程序启动更快、体积更小
iLinux
09-21 2191
         很多搞.NET开发的可能也跟都有这个习惯,在编写.NET托管程序的时候,喜欢用到以前的一些类库,或是第三方提供的类库,由于没有采用源码方式来编译(没有编译到同一程序集中).这样一来,编译好的应用程序就可能是N个散列的文件。更有一点需要注意的是,用户可以非常简单的就看出,你用到了哪些第三方的类库...我想这应该都不是大家很喜欢看到的吧,其实,利用.NETZ这个开源的免费小工具,就可
[转]C#开源资源大汇总
weixin_30555753的博客
11-20 2511
原文:http://joerong666.javaeye.com/blog/189329 C#开源资源大汇总 2008年04月17日 星期四 08:52 A.M. 一、AOP框架 Encase 是C#编写开发的为.NET平台提供的AOP框架。Encase 独特的提供了把方面(aspects)部署到运行时代码,而其它AOP框架依赖配置文件的方式。这种部署方...
Labview生成exe文件(上位机)
认认真真写程序,开开心心做工作
03-14 1422
Labview生成exe
使用netz 合并.net 写的 exe 和 dll 为单一EXE
ANSWER 的专栏
02-19 1497
.NETZ是一个开源的支持.NET程序压缩的工具,它也可以将一个EXE和多个DLL合并在一起执行。 它可以起到混淆的效果。它的官网是 http://madebits.com/ 用法如下:(以下产生的文件都是在exe文件的一个新的子文件夹中)如果要压缩一个EXE程序,只需要执行: netz app.exe (这样会产生一个zip.dll 文件)如果要去除这个dll文件,可以执行:
win7 64位可用的 netz.exe
11-14
netz 是 .net 平台很好的可执行文件和DLL合并工具,可惜在 win7 64 位机器上会报很多错误和异常,该版本是在64位平台上的重编译版本。
labview生成exe文件
11-10
labview生成exe文件word文档
深入分析LabVIEW 编译器
10-23
LabVIEW是一种程序开发环境,由美国国家仪器(NI)公司研制开发的,类似于C和BASIC开发环境,但是LabVIEW与其他计算机语言的显着区别是:其他计算机语言都是采用基于文本的语言产生代码,而LabVIEW使用的是图形化编辑语言G编写程序,产生的程序是框图的形式。   虚拟仪器(virtual instrument)是基于计算机的仪器。计算机和仪器的密切结合是目前仪器发展的一个重要方向。粗略地说这种结合有两种方式,一种是将计算机装入仪器,其典型的例子就是所谓智能化的仪器。随着计算机功能的日益强大以及其体积的日趋缩小,这类仪器功能也越来越强大,目前已经出现含嵌入式系统的仪器。另一种方式是
LABVIEW 教程(生成可执行文件)
11-10
LABVIEW 教程(生成可执行文件)一个截图制作的简易教程。
exe反编译脱壳程序
02-22
用于对加壳的exe,dll等加壳后程序的分析和脱壳,一个是peid,用于分析加壳类型。一个是UnASPACK,用于对aspack加壳的脱壳。
exe文件反编译软件
04-11
包括PE Explorer和Resource Hacker
.net反射(Reflection)
黄瓜炒鸡蛋的博客
04-17 476
.net反射(Reflection)绕过类内部成员的访问修饰符,直接访问类的内部成员
《深入浅出.NET框架设计与实现》笔记1——.NET CLI 概述
最新发布
04-21 290
例如,执行dotnet publish --output /builder --output时,--output选项及其值被传递到publish命令。例如,执行dotnet publish my_app.csproj时,my_app.csproj参数指示要发布的项目,并被传递到publish命令。从应用的DLL驻留的文件夹执行命令时,只需执行dotnet my_app.dll即可。在命令行上传递的参数三被调用的命令的参数。在命令行上传递的选项三被调用的命令选项。dotnet publish发布代码。
第一个”netz-c“
12-01
第一个"netz-c"是指德国的网络安全中心 (Netzwerk-Center) 的简称。该中心是德国联邦政府设立的一个机构,致力于网络安全领域的研究、防御和监督。 "netz-c"成立的目的是为了保障德国的网络和信息系统的安全。在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值