本文主要讲述进行C#/.NET基础逆向的一般性步骤, 并不全面, 仅希望能给初学者减少些许时间, 也作为自己的总结吧.
工欲善其事必先利其器, 工具是必不可少的, 建议初学者下载此类工具时前往一些安全论坛下载, 一方面是方便检索新版, 一方面是恶意软件的可能性比较小, 避免不必要的麻烦.
一、检测程序类型. 很多工具可以做到这一点, 比如exeinfope, PEiD, CFF Explorer等, 其中PEiD旧版本不支持x64, 作者未深究. 值得注意的是, 即便侦壳工具提示并非.NET程序, 也不能断定, 有些保护工具会给程序套一层Native外壳, 这种情况下可以结合内存加载的DLL和程序依赖项进行判断, 然后通过从内存DUMP出.NET的程序, 这方面的工具有如
.NET Generic Unpacker
二、使用Reflector进行反编译, 如果这时候你发现反编译成C#代码(推荐)会导致crash或者只能查看IL代码, 请尝试升级Reflector版本, 此外如果你发现一些不可读的名称甚至乱码字符, 那程序极可能被混淆处理过, 可以使用de4dot等工具进行清理和重构.
三、这里有两种选择, 一是直接借助Reflector的Export Source重建C#工程, 缺点是只适用于小程序, 否则后期的处理会相当繁琐, 几乎不可能不进行任何修改就能直接编译. 二是对照反编译出的C#代码定位关键IL代码(不建议新手直接从IL代码进行定位, 虽然IL代码每种指令都有详细的文档, 阅读起来并不困难, 但流程逻辑并不如C#直观, 此外字符串使用unicode编码的bytear