记录一次C#/.NET以及VB p-code/native的逆向破解

已于 2022-03-23 19:45:47 修改
阅读量1.6k 收藏
点赞数 1
分类专栏: 逆向研究 文章标签: 安全 c#
于 2022-03-23 16:29:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37157335/article/details/123689320
版权

记录一次C#/.NET以及VB p-code/native的逆向破解

玩了5份样本,2份dotnet的,2份native的和1份pcode的。

dotnet framework程序

  • dotnet的相对会简单,只需要使用dnspy工具打开目标程序,找到逻辑点后,点编辑函数,然后去掉校验逻辑。随后保存到程序集即可。

  • 遇到加了混淆以后对外显示原始方法名称,但是点进去以后发现所有方法全都是直接返回null的。

    • 通过[DotNet Id_1.0.0.3](https://pan.baidu.com/s/1K5tQuynpYTS83gydNopKcg?pwd=tmnl) 提取码:tmnl 查壳发现其是`maxtocode`混淆的

    • 这种可通过de4dot_.NET_Reactor_v6.x_Modded 提取码:csz9。这种脱壳以后不会有乱码,注意后续Reactor产品可能也会继续升级,对应的反混淆工具也需要相应跟着一起升级。

VB程序

  • VB Decompiler

    • 基础的伪代码获取工具,可能会提示“file is packed”即使文件没有被加过壳

  • VBRezQ

    • VB的窗体和虚拟指令获取,但是如果对象是pcode编译,则只能获取到方法名,获取不到内容

  • VBDec

    • 同样也是获取窗体和虚拟指令的,但是可能会报错导致获取不全而中断

  • WKTVBDebugger

    • 动态调试pcode编译,并且以虚拟指令的方式显示,通过修改BranchE(1C)/T(1D)来变更目标程序的逻辑

以上几个工具下载 提取码:123t

脱壳

  • 其他的一些比较难的如VMProtect等壳,可以是通过esp原理使用动调的方式手动去掉

    • 壳往往都是通过对外界表现出黑匣子效应,对程序本身表现出透明效应。所以壳会在程序初始化的时候将堆栈保存下来,在解密完成后恢复堆栈。故往往会有pushad这样的指令,此时只要监控该栈位置,以发现在popad的位置,该位置离程序真正的main函数或者入口函数会非常接近。

serfend
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
NET反混淆—de4dot-Reactor5.0(修正版).zip
01-07
NET反混淆—de4dot-Reactor5.0(修正版),修改部分位置,更加方便好用。NET反混淆—de4dot-Reactor5.0(修正版),修改部分位置,更加方便好用。
de4dot 反编译
wjhl04的专栏
07-12 1401
1、打开 De4Dot 所在文件夹,按住 Shift,右键该文件夹 → 选择“在此处打开命令窗口”,如图1所示: 也可以打开“命令提示符”,再定位到 De4Dot 所在目录。 2、输入 De4Dot + 要反混淆 .net 文件,如输入 De4Dot G:\xq\test\winform.exe 回车,反混.\de4dot.exe G:\xq\test\winform.exe淆成功,如图2所示...
[C#]de4dot常用命令
最新发布
FL1623863129的博客
01-27 552
解释:反混淆整个文件夹其中-r xxx : 指定输入文件夹,包括子文件夹,-ru : 跳过不支持的混淆工具混淆过的文件,-ro : 指定输出文件夹。命令:de4dot.exe file1 -f "D:\xxx.exe" -o "D:\output\xxx_cleaned.exe"命令:de4dot -r "D:\input" -ru -ro "D:\output"命令:de4dot.exe -f "D:\a\xxx.exe" -d。解释:-f : 指定.NET 程序集文件,-o : 指定输出 文件。
各种主流.net混淆加密软件对比:
mituan1234567的专栏
04-29 9568
http://blog.sina.com.cn/s/blog_13ace711f0102xuxj.html 各种主流.net混淆加密软件对比: 一:Dotfuscator 首先是使用Dotfuscator对.net程序加密码混淆。VS自带了PreEmptive Dotfuscator and Analytic5.22混淆工具,默认的安装路径是C:\Program Files (x86)...
matlab P 文件加密与逆向工程探讨
奋斗之路
12-11 8541
最近看论文,很多开源程序被加密成p文件。由于论文写得往往跟程序里实际做的还是有一定差别,很想借鉴一下前人宝贵的经验。之前,网上有大神曾经公布过逆向p文件到m文件,据说p文件采用AES-128加密格式,知道秘钥就可以反向逆向工程。由于matlab公司要求下架,该公测网站已经下架了。不过,可能有些人之前把该网站克隆过,去做有偿破解。 这里,主要在讨论如何加密matlab...
de4dot_.NET_Reactor_v6.x_Modded.rar
06-23
de4dot .NET Reactor v6.x Modded 反编译工具
.NET Reactor v6.8 Crack
控件与插件之大全
04-15 3221
领先的代码保护///////终极 .NET 混淆器 无与伦比的 .NET 代码保护系统,可完全阻止任何人反编译您的代码。 混淆 .NET Reactor 通过向 .NET 程序集添加不同的保护层来防止逆向工程。除了标准的混淆技术之外,它还包括 NecroBit、虚拟化、x86 代码生成或防篡改等特殊功能。NET Reactor 是唯一为 Windows、Linux 和 OSX 提供代码加密的工具。 查看所有功能 许可 .NET Reactor.NET 应用程序和库提供完全托管的许可解决
.NET Reactor 6.9.0:::终极 .NET 混淆器
控件与插件之大全
10-08 3379
领先的代码保护混淆 .NET Reactor 通过向 .NET 程序集添加不同的保护层来防止逆向工程。除了标准的混淆技术之外,它还包括 NecroBit、虚拟化、x86 代码生成或防篡改等特殊功能。NET Reactor 是唯一为 Windows、Linux 和 OSX 提供代码加密的工具。
.NET破解工具:DotNet Id.exe 检测何种.NET混淆器加壳
09-25
.NET破解工具:DotNet Id.exe 检测何种.NET混淆器加壳 ,另外辅助其它工具如 Reflector DotNethelper Hexchange , dbgCLR(微软自己的调试器)Editplus 静态工具:Reflector 查看一些类信息 DotNethelper把程序反编译为IL文件然后在重新用IL文件生成EXE Hexchange这个功能比较简单就是把十六进制转为十进制,或者汉字,方便分析 Editplus这个就是方便打开IL文件,然后查看,修改,查找关键字。动态工具:dbgCLR 设置断点跟踪流程
DotNet Id_1.0.0.3.rar
09-12
DotNet Id 1.0.0.3 查壳工具
MATLAB全系列破解文件
04-06
MATLAB全系列破解文件!crack破解文件夹,需要的自行下载,全系列的基本都有!
de4dot-Reactor_最新版.zip
08-08
de4dot是用C#编写的开源(GPLv3).NET解混淆器和解压缩器。它将尽力将打包和混淆的程序集恢复到几乎原始的程序集。 大部分混淆都可以完全恢复(例如,字符串加密),但是函数名是无法恢复的,因为函数名称(通常)不是混淆程序集的一部分。来自github最新版
使用ML.Net和C#/ VB.Net进行机器学习
04-08
使用ML.Net版本0.2解决分类问题。
C#/VB.NET 调用C++的COM组件/C++的DLL的方法
07-06
2、VB.net/C#工程需要.net framwork 4.8(可以根据你自己的环境修改工程属性) 3、默认选中了x64配置,所有的DLL/组件/调用客户端都生成Windows x64代码,不要混用32位和64位配置。并总是在配置管理器中确认全部编译...
C#/VB.NET 在PDF中添加文件包(Portfolio)的方法
08-18
主要介绍了C#/VB.NET 在PDF中添加文件包(Portfolio)的方法,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友参考下吧
C#/ Win32 P /调用源生成器-.NET开发
05-27
C#/ Win32 P / Invoke源生成器一个源生成器,用于将用户定义的Win32 P / Invoke方法集和支持类型添加到C#项目中。 功能快速向您的C#项目中添加P / Invoke方法和支持类型。 没有庞大的程序集可与您的应用程序一起...
在C#/ VB.Net中读写XML
04-08
使用XML解序列化对象图的技巧和窍门
C#/.Net WinForm窗口遮罩层工具实例
05-27
好的,以下是一个简单的C#/.Net WinForm窗口遮罩层工具的实例,供您参考: 1. 在您的WinForm窗口中添加一个Panel控件,作为遮罩层,将其Dock属性设置为Fill,Visible属性设置为false。 2. 在需要显示遮罩层的地方,使用以下代码将遮罩层显示出来: ```csharp panel1.Visible = true; panel1.BringToFront(); ``` 3. 在需要隐藏遮罩层的地方,使用以下代码将遮罩层隐藏: ```csharp panel1.Visible = false; ``` 4. 如果您需要在遮罩层上添加其他控件,可以将这些控件添加到Panel控件中,设置它们的Visible属性为true,在需要显示遮罩层时,将Panel控件的Visible属性设置为true即可。 5. 最后,为了使遮罩层更加美观,您可以为Panel控件添加一些透明度效果,例如: ```csharp panel1.BackColor = Color.FromArgb(128, Color.Black); ``` 这样可以使遮罩层半透明,同时保持窗口的可见性。 希望这个实例对您有所帮助!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值