C#混淆基本可以过所有静态特征检测,C#的软件经常被用来写加载器,勒索和窃密有很多是C#语言。
有些C#的混淆在基本信息上可以看到,当然这是一种比较低级的混淆方法,大多数作者会抹去这个信息字符串。
图片来自于深信服的分析报告:
https://www.sangfor.com/blog/cybersecurity/new-threat-mallox-ransomware
C#加载器经常用到的API:CLRCreateInstance。
de4dot
de4dot工具可以识别以下几种类型的混淆,并且可以还原一大部分符号信息。
Agile.NET (aka CliSecure)
Babel.NET
CodeFort
CodeVeil
CodeWall
CryptoObfuscator
DeepSea Obfuscator
Dotfuscator
.NET Reactor
Eazfuscator.NET
Goliath.NET
ILProtector
MaxtoCode
MPRESS
Rummage
Skater.NET
SmartAssembly
Spices.Net
Xenocode
美中不足的是de4dot项目没有release版本,只能自己编译,自己编译的时候会有一点点坑。
坑就是github上下载的项目原文件De4DotCommon.props中默认配置中,解决方案的目标框架是net framework3.5