记录自己一次xenocode反混淆实践

最新推荐文章于 2021-05-25 14:12:15 发布
最新推荐文章于 2021-05-25 14:12:15 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: 记录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/meinaozi/article/details/81302723
版权

需要用到的工具有

  1. https://down.52pojie.cn/Tools/PEtools/PE.Tools.v1.9.762.2018.zip
  2. ildasm
  3. https://down.52pojie.cn/Tools/NET/ILSpy_Master_2.3.1.1855_Binaries.zip
  4. DOBSTR 很老的一个工具.在<加密与解密 第三版>随书光盘里面才有 下载地址 https://download.csdn.net/download/gqhyz/3203429 在目录 /chap09/工具/反混淆/ 下

第一个方法: 用PEtools选择 exe 进程 右键dump full 可以得到一个新的exe文件 拖入 ILSpy后 可以看到逻辑代码
但是字符串还是处于混淆状态.
第二个方法: 用ILDSAM将被混淆的程序集反编译为IL文件,反编译时只改变编码为Unicode,其他不变,用DOBSTR打开这个IL文件,并选择保存位置,点击 “反混淆”,程序将生成反混淆后的IL文件.(注意:打开dobstr后 选择一下指定方法 选择程序集就使用dobstr同目录的decode.dll 请使用全路径) 其他不改. 注释选项选择不注释.
生成反混淆后的IL文件后.使用windows 系统下.NET目录(例如:C:\Windows\Microsoft.NET\Framework\v2.0.50727)的ilasm重新将il文件编译为dll或者exe 命令如下:

ilasm /exe /output=d:\server\iltoexe_server.exe d:\server\server1.il

这时候将 iltoexe_server.exe 拖入ILSpy, 有惊喜.
但是也不一定全部过程都成功. dobstr反混淆 和 ilasm重新编译过程中都会有可能出现错误.

之前的代码
这里写图片描述

之后的代码
这里写图片描述

一些具体细节

通过反编译 dobstr的源代码可以看到它直接从il文件中读取bytearray类型的字符串 然后导入解密函数进行解密.可能由于程序的多样性,dobstr 的解密算法已经硬编码在内部了. 遇到dobstr出错的时候,可以自己提取il里面的bytearray自己手工解密
以下是使用ILDSAM 反编译后获取的IL中间语音代码片段:

      IL_0470:  ldstr      bytearray (17 68 32 6F 1E 76 28 7D 2A 84 F5 8A 15 92 12 99 ) // .h2o.v(}*.......
      IL_0475:  ldc.i4     0xff167c3

其中 ldstr是已经混淆过了的字符串
ldc.i4 是一个整数 用于参与反混淆过程

附上反混淆解密方法:

		public string cc381ffa3ede662f(string e4115acdf4fbfccc, int 211566702b710682)
		{
			char[] array = e4115acdf4fbfccc.ToCharArray();
			for (int i = 0; i < array.Length; i++)
			{
				array[i] = (char)((int)array[i] - 211566702b710682);
				211566702b710682 += 1789;
			}
			return new string(array);
		}

反混淆过程如下:
首先拿到ldstr 字符串 17 68 32 6F 1E 76 28 7D 2A 84 F5 8A 15 92 12 99
4位一组.两两对调.用\u进行拼接,得到新的字符串:\u6817\u6f32\u761e\u7d28\u842a\u8af5\u9215\u9912
再拿出ldc.i4 0xff167c3 进行16进制转换10进制 得到整数 267478979 再传入上面的反混淆函数.即可得到想要的字符串.

这里写图片描述

以下是我自己写的一个demo C#的解密代码

        static void Main(string[] args)
        {
			string strOrgStr = "\u6817\u6f32\u761e\u7d28\u842a\u8af5\u9215\u9912";
			char[] array = strOrgStr.ToCharArray();

			int ccc = 267478979;
			for (int i = 0; i < array.Length; i++){
				char b = (char)((int)array[i] - ccc);
				ccc += 1789;
				Console.Write(b);
			}
            Console.Write("\r\nPress any key to continue....");
            Console.Read();
        }

这里写图片描述

这个是dobstr 调用自己写的程序集来解密,dobstr 程序还有一些问题.

// ConsoleApplication3.Form1
public string Decrypt(string str, int radix)
{
	string result;
	try
	{
		Assembly assembly = Assembly.LoadFrom(this.indll.Text);
		Type type = assembly.GetType(this.Namespace.Text);
		object[] array = new object[]
		{
			str,
			radix
		};
		Type[] array2 = new Type[array.Length];
		for (int i = 0; i < array.Length; i++)
		{
			array2[i] = array[i].GetType();
		}
		BindingFlags bindingFlags = 24;
		MethodInfo method = type.GetMethod(this.Method.Text, bindingFlags, null, array2, null);
		object obj = method.Invoke(null, array);
		result = obj.ToString();
	}
	catch
	{
		this.OutPut.AppendText("错误:解密字符串失败!\r\n");
		this.OutPut.AppendText("请检查调用的解密方法是否正确!\r\n");
		this.OutPut.AppendText("\r\n");
		this.bTest = false;
		result = "";
	}
	return result;
}

这个是硬编码了的解密函数

// ConsoleApplication3.Form1
public string Decrypt(string strOrgStr, string strRadix)
{
	string text = strOrgStr.Replace(" ", "");
	text = text.Trim();
	int num = text.get_Length() / 4;
	int[] array = new int[num];
	char[] array2 = new char[num];
	for (int i = 0; i < num; i++)
	{
		string text2 = text.Substring(4 * i + 2, 2) + text.Substring(4 * i, 2);
		array[i] = int.Parse(text2, 515);
		array2[i] = (char)array[i];
	}
	string text3 = new string(array2);
	text3.Trim();
	int radix = int.Parse(strRadix, 515);
	string text4 = this.Decrypt(text3, radix);
	text4 = text4.Trim();
	string text5 = text4;
	byte[] bytes = Encoding.get_Unicode().GetBytes(text4);
	text4 = Form1.HexTest.ToHexString(bytes);
	text4 = text4.Trim();
	string text6 = "";
	for (int j = 0; j < text4.get_Length() / 2; j++)
	{
		string text2 = text4.Substring(j * 2, 2) + ' ';
		text6 += text2;
	}
	text6 += ')';
	if (this.BaStyle.Checked)
	{
		text6 = text6 + "   //" + text5;
	}
	return text6;
}
夜班机器人
关注
专栏目录
Android 逆向工程之APK混淆处理方案分析
qq_38794072的博客
07-24 1306
提供apk给到外部,外部对apk进行二次处理后重新给我们一个新apk。尝试分析源apk文件和处理后的apk文件区别,根据其中区别推测外部的混淆处理方案,尽可能还原外部对apk的处理方式。以下对处理和未处理的apk文件用新、旧apk名称表示。通过编译工具分析可以得出外部处理的新 app 操作主要是对 dex 文件增加了垃圾代码提高主包的相似度,避免被Google识别,然后进行了混淆处理。处理 dex 利用 BlackObfuscator-GUI 等工具处理后对 apk。
Xenocode 2010 .NET程序混淆器(含序列号)
08-28
Xenocode+Postbuild+2010+for+.NET Xenocode 混淆器 程序混淆
Xenocode程序代码混淆器2014版
11-27
Xenocode代码混淆器2014版,用于对动态链接库文件的源代码加密,避免代码外泄。
揭开.NET程序保护的秘密
周公(周金桥)的专栏
09-19 5963
.NET程序保护主要有如下几种形式1.  混淆2.  编译到本地代码3.  把代码隐藏在资源中1.  混淆这部分的保护软件以Dotfuscator和XenoCode为代表。Dotfuscator是比较初级的混淆器,采取的主要策略是名字混淆,通过把类名、方法名、变量名改成很短的形式,目的是破坏有意义的变量命名。 WebCombo.NET 2.0,采用Dotfuscator进行变量名混淆名字混淆的缺点
Xenocode混淆经验
帽子Lee的专栏
03-20 1503
  用法一:         1、导入要加密的dotNET程序或assembly文件(.dll/.exe)     2、选择第二个选项卡“Protect”     3、点击“Select   Pattern”     4、选中所有“Object   Type”和所有“Visiblility”     5、“Action”选择“Do   not   obfuscate”,Apply,把所有的内容都设
Xenocode Fox编译用Xenocode Publish混淆过的应用
清风阁
02-17 4505
用过Xenocode Fox的人可能都会感叹,现在用.NET做应用,没有法律的保障,单凭技术保障,基本上是有等于无。本人也是属于好奇心爆棚的人,每每遇到一些优秀的应用,都想看看人家是如何实现的,这时候首选当然是Xenocode Fox啦,今天如常把一个性能好得令我吃惊的dll请进了Xenocode Fox。可是预想中的Source Code却无影无踪,一个刺眼的红色“X”却跃然屏幕,略微看了一下提
C# 使用xenocode混淆加密
weixin_30851409的博客
05-03 104
之前就了解过混淆加密工具,但这还是第一次使用,选择了xenocode2010。 步骤如下: 1、选中Application标签 2、点击Add按钮,加载要混淆的Dll、Exe文件 3、如果是Dll文件则选中Preset列表框中的第二项,之选中第一项 4、点击Apply按钮 5、选中Protect标签 6、点击Select St...
.net破解一(编译,混淆-剥壳)
weixin_30823227的博客
11-21 955
大家好,前段时间做数据分析,需要解析对方数据,而数据文件是对方公司内部的生成方式,完全不知道它是怎么生成的. 不过还好能拿到客户端(正好是C#开发)所以第一件事就是用Reflector编译,但是没有想象的那么简单,看看编译结果 代码已经混淆了,方法体内部处理也看不见,怎么办喃? 现在就来说说混淆(剥壳)那些事 目前比较常用的混淆(加壳)有Dotfuscator,MaxTo...
使用xenocode代码混淆加密的操作步骤
10-26
之前就了解过混淆加密工具xenocode,下面记录一下xenocode2010代码混淆的操作步骤,大家参考使用吧
Xenocode2009混淆
01-26
Xenocode2009混淆器破解。混淆功能很好。 很好用的工具。内含使用说明。由于只能上传15M所以破解文件分开上传。破解文件地址(http://download.csdn.net/source/3003174)
混淆-.net混淆工具
04-17
描述中提到的“xenocode 混淆 .net混淆 混淆工具 混淆器”可能是指Xenocode公司的产品,这是一家专注于代码保护和虚拟化技术的公司,其产品可能包括一种混淆工具。Xenocode混淆工具可能具有高级的算法...
超强脱壳混淆工具
02-24
市面上大多数的混淆加壳,都可以去掉,超强版本,大神精华所在。
.net 混淆工具
06-25
.net混淆工具 Xenocode混淆 工具
混淆工具集
03-13
混淆工具集,包含多个混淆工具和检测工具,自己收集的可能说是最全的了
app 资源文件混淆工具类
01-23
与app市场上线要求一致,混淆res资源文件,防止编译,亲测 好用
Xenocode Fox 2007编译Net代码要注意字符编码
weixin_30920853的博客
01-09 101
以前用的fox 2007版本是5.12的,在编译.Net程序后,也就是打开看看,分析一下就算了。今天给朋友编译一个DLL,包含的类太多,只能用输出工程的方法,于是退到5.01(新版本没有导出为 VS 工程的功能)。奇怪的是,运行“Export to Visual Studio"后,打开的源码竟然是这样的: ?usingSys...
android 资源混淆编译,Android 编译与混淆
weixin_34558565的博客
05-25 517
一、编译编译代码工具将需要编译的代码片段移动至dex2jar的目录下,如下图红色框中所示打开命令行,快捷方式 win+R,输入cmd,移动到dex2jar的目录下,输入命令d2j-dex2jar.bat classes.dex操作执行后,可以看见目录下多了一个jar包,如下图所示将jar包复制到jd-gui-window目录下,并打开jd-gui.exe,查看jar包的内容编译资源文件工具...
安卓res资源混淆
s562218的博客
12-31 2440
刚刚开发了一个安卓res资源混淆器,直接将apk拖到bat文件即可 原理是通过修改resources.arsc对应res资源路径的字符串,并对apk内相应文件重命名来实现 源码已托管到 https://github.com/s562218/AndroidResProguard 目前未经大量测试,暂时不保证兼容所有apk,发现问题请告诉我
XenoCode 使用方法
蓝叶菱的专栏
01-07 4093
http://www.cnblogs.com/swjm119/archive/2011/12/08/2280655.html 文章转载自网络   用法一:           1、导入要加密的dotNET程序或assembly文件(.dll/.exe)      2、选择第二个选项卡“Protect”      3、点击“Select   Pattern”
使用Xenocode加壳混淆后,无法“自杀覆盖”的自动更新
Sky 的专栏
02-18 837
这个难题可是整整搞了我2天时候。 直至目前,才算有一个解决方案。   经过 Xenocode 的 WinForm 程序,如果你想实现一键式自动更新(就是不需要客户点一下点一下),那是相当困难的。 原因是 Xenocode 不但混淆了代码,还进行“加壳”保护了!至于什么是加壳,我个人理解是:在一个程序里运行另外一个程序(没有看过相关的知识,见笑了)。   我来说说我的自动升级构思:
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值