对抗 | 利用de4dot解密被混淆的.NET代码

最新推荐文章于 2024-09-13 21:42:36 发布
最新推荐文章于 2024-09-13 21:42:36 发布
阅读量881 收藏 1
点赞数
文章标签: 反编译 python java 编程语言 windows
原文链接:https://mp.weixin.qq.com/s?__biz=MzI0NDE0MDgyNg==&mid=2649598837&idx=4&sn=6a40db3ce29e843cbd455d4029937f33&chksm=f17b5500c60cdc1616e1881bb1d8491f9a651f4d2992d728273d78cb3b1e4c5d41592cf1a670&scene=126&&sessionid=0
版权

0x01 背景

由dotNet安全矩阵星球圈友们组成的微信群里大家伙常常聊着.NET话题,这不今天有个群友下午1:06分抛出反编译后还是混淆的代码,那么肯定需要加密后获取正常的.NET代码,笔者1:35看到后快速响应私聊了这位师傅,拿到需要解密的DLL,大约45分钟后2:20左右解密成功,此文主要把中间的过程踩的坑和解密方法记录一下。

1d04708054b5e553e79ed7ca6e898981.png

9b62c619fdf14d8f66bf06c985b5d80a.png

这位师傅用反编译工具打开后部分方法名显示为不规则的字符串,混淆代码的操作比较明显,此类混淆经过解密得知是.NET Reactor,笔者曾经也用过此工具混淆过代码,如下图

657ee2f97a30bf11202d3a7bd461ecf5.png

反混淆的工具有很多,其中de4dot是目前最主流的反混淆工具,它使用dnlib来读取和写入程序集可解密以下工具混淆过的.NET代码,如 Xenocode、.NET Reactor、MaxtoCode、Eazfuscator.NET、Agile.NET、CodeWall、Mpress .NET Packer、Rummage Obfuscator、Babel.NET、CodeFort、CryptoObfuscator、DeepSea Obfuscator、Dotfuscator、 Goliath.NET、ILProtector、SmartAssembly、Spices.Net,接下来跟随笔者一起了解这款神器特别之处吧!

0x02 踩坑

由截止目前2022.06.22,最新版本为 de4dot v3.1.41592.3405 ,项目地址:https://github.com/de4dot/de4dot,项目没有编译好的程序,需要下载后自行编译

c08865f5d70e8baf9062f456d464705d.png

CMD窗口下运行命令 de4dot-x64.exe -d Dx.OfficeView.dll 抛出异常,提示找不到加载程序集de4dot.cui,解决方法将项目目录下的 de4dot.cui.dll 复制到当前运行目录,再次运行后提示缺少 de4dot.code.dll 和 dnlib.dll ,同样的方法将缺少的这两个DLL文件复制到当前目录,总算可以正常运行显示了当前de4dot版本信息,但又抛出了新的异常信息 Hmmmm... something didn't work. Try the latest version 整个执行过程如下图

e79d02ac332be5e2d3d4612b84b6c2c3.png

解决方法就是不用新版本,使用老版本3.0系列的de4dot,笔者用 de4dot-3.0.3,工具选对了之后就很简单了,介绍几个常用的命令

0x03 用法

1. 检测混淆

de4dot 提供 -d选项检测混淆器类型,如下命令检测出混淆器是 .NET Reactor

de4dot.exe -d c:\input\Dx.OfficeView.dll

dbb900075e7f221307d63ef3b3f34c90.png

2. 批量反混淆

dde4dot 提供如下命令批量反混淆处置,将被反混淆的DLL文件放到input目录,解密后的程序集保存到output目录,-r表示递归 ,-ru表示忽略未知文件。-ro表示输出文件到目标文件夹

de4dot.exe -r c:\input -ru -ro c:\output

8f28e111bb10b5857a5a457dd6c18799.png

反混淆解密后用dnspy打开能看到正常C#代码,可以继续愉快的代码审计了,解密后把文件发给了这位师傅,师傅也非常客气的请喝奶茶,感谢哈!有感于圈内讨论.NET安全的学习氛围还是不错的。

2662d254a1ce52617a9ee936a750f948.png

0x04 结语

技术群:添加小编微信并备注进群

小编微信:mm1552923   

公众号:dotNet编程大全    

zls365365
关注
c#反混淆工具de4dot 一般混淆都可以解决
12-24
c#反混淆工具de4dot 一般混淆都可以解决 de4dot是用C#编写的开源(GPLv3).NET混淆器和解压缩器。 它将尽力将打包和混淆的程序集恢复到几乎原始的程序集。
de4dot .net 通用反混淆脱壳工具
01-10
de4dot .net 通用反混淆脱壳工具,用最新的源码编译的!!大家可以下载试试效果~
【图文教程】de4dot实战字符串解密(演示:hishop微分销系统)
小码哥
06-29 5783
前些日子,公司需求开发一个微分销系统,于是找来hishop微分销系统想借鉴一下,没想到里面各种加密,就连字符串也都加密了。无奈,只好操起家伙,干~~ 那么今天就来写一下怎么还原字符串加密。   看到这么丑的一个字符串加密函数。恐怖~~ CpMQ4h6hGF38odldo)NPKBL5d2UR.ABKRQ0Ph9xAaqxqt26Lc2iIhXRTB.AG58
de4dot 安装和配置指南
最新发布
gitblog_07005的博客
09-13 641
de4dot 安装和配置指南 de4dot .NET deobfuscator and unpacker. 项目地址: https://gitcode.com/gh_mirrors/de/de4dot ...
.NET 7月份红队武器库和资源集合
ahhacker86的专栏
08-07 900
此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他方面。
NET Reactor 4.9 反混淆工具 de4dot-mod
07-19
de4dot-mod最新版 完美支持NET Reactor 4.9 反混淆工具
de4dot解C#混淆工具release版本(需要.NET framework 4.5环境)
05-31
总之,`de4dot`是一款强大的C#解混淆工具,对于开发者和安全研究人员来说,它提供了一个有效途径来查看和理解混淆后的.NET代码。然而,正确使用和理解混淆与反混淆技术,以及遵守相关法规,是使用这类工具时必须考虑...
.Net 脱壳 反混淆神器De4dot-3.1.41592最新版
04-21
使用它可以成功地脱掉了Dotfuscator、MaxToCode处理过的程序,至于其它的加壳/反混淆工具比如说Xenocode、ThemIDA等我还没有进行过实验,之后我将计划研究各类加壳/反混淆工具的脱壳方法,我深信De4Dot能够给我带来...
.NET C#去壳反混淆工具 de4dot最新版
05-02
de4dot支持多种混淆器,如Obfuscator.NET、CryptoObfuscator等,它能够恢复被混淆的元数据和IL代码,使其可读性提高。 de4dot最新版可能包含了更多的优化和对新混淆技术的适应,提高了去壳和反混淆的成功率。使用...
好用的.net dll反混淆工具
01-18
dll反混淆工具
.net Reflector 8.5.0.179反编译软件(含注册机)+反混淆软件(de4dot-v3-1)
11-06
.net Reflector de4dot 反编译混淆 软件,强大的工具,亲测可用
de4dot工具
12-28
反编译神器,对dll、exe混淆加密进行处理,处理结果再用反编译软件查看源代码
de4dot 4.9
01-19
最新版本的De4dot4.9 .Net脱壳反混淆工具,脱壳能力比较强,堪称为神器,支持Dotfuscator、MaxToCode的脱壳。
de4dot v3.1.41592 (2017-11-11版)
11-20
de4dot is an open source (GPLv3) .NET deobfuscator and unpacker written in C#. It will try its best to restore a packed and obfuscated assembly to almost the original assembly. Most of the obfuscation can be completely restored (eg. string encryption), but symbol renaming is impossible to restore since the original names aren't (usually) part of the obfuscated assembly. It uses dnlib to read and write assemblies so make sure you get it or it won't compile. https://github.com/0xd4d/de4dot
de4dot_All_Version.rar
07-17
外国大神的De4Dot合集 de4dotfixedbyIvancitoOz de4dotModByBS de4dotModbyTheProxy de4dotReactorv4_9ModbyPC_RET de4dot_2 de4dot_2_0_3 de4dot_3 de4dot_3_1_0 de4dot_3_1_4 de4dot_4_9_PC_RET de4dot_5_8_Eazfuscator_Support de4dot_B@S de4dot_Cawk_v2_ConfuserEx_Unpacker de4dot_Crypto_Phoenix_Reactor_OrangeHeap De4dot_DorAEm0nKiNG de4dot_FamilyFree_v2 de4dot_IvancitoOz de4dot_kao de4dot_Latest de4dot_mamo434376 de4dot_MaxtoCode_Partial_Fix_Tianjiao de4dot_Modded_By_Krawk de4dot_NET_Reactor_5_0 de4dot_Net_Reactor_Unknown de4dot_String_Deob de4dot_Support_Reactor5 de4dot_Syklon_Phoenix_Protector de4dot_TheProxy de4dot_v3_1_41592 de4dot_Wuhensoft Easy_de4dot FF_Unpacker Gde4dot NetGuardUnpacker
de4dot-2.0.3 一款强大的脱壳反编译工具
07-10
De4Dot是一个开源的脱壳/反混淆工具,结识到神器工具我要感谢论坛里的朋友wan,他在我的处女新手贴” [原创]新手破解.NET程序”中提到了这个工具,而这款工具被我奉为了神器级工具。因为它的脱壳能力的确很强,使用它我成功地脱掉了Dotfuscator、MaxToCode处理过的程序,至于其它的加壳/反混淆工具比如说Xenocode、ThemIDA等我还没有进行过实验,之后我将计划研究各类加壳/反混淆工具的脱壳方法,我深信De4Dot能够给我带来巨大帮助。
.Net项目混淆/加密工具
学以致用 知行合一
08-17 3163
由于 .NET 的性质,不受保护的 .NET 程序集可以被高级程序员和破解者轻松反编译,从而更容易检测和删除应用程序中的保护例程。因此有必要保护代码
.NET安全对抗 - 利用de4dot解密混淆.NET代码
m0_59598029的博客
03-18 1957
NET下可以反混淆的工具还有很多,笔者打算日后再逐个介绍给大伙认识。文章涉及的工具和PDF已打包发布在星球,欢迎对.NET安全关注和关心的同学加入我们[dotNet安全矩阵],在这里能遇到有情有义的小伙伴,大家聚在一起做一件有意义的事。欢迎大伙持续关注,交流。为了帮助研发大佬们熟悉和掌握.NET应用安全相关的漏洞介绍和修复解决方案,我们创建了一个.NET应用安全建设的星球,专门科普.NET领域相关的安全漏洞和提供漏洞修复方法,星球部分主题如下图所示。!感兴趣的研发大佬们可以加入我们一起学习交流。
.NET安全对抗 | 利用de4dot解密混淆.NET代码
ahhacker86的专栏
01-10 1537
NET下可以反混淆的工具还有很多,笔者打算日后再逐个介绍给大伙认识。文章涉及的工具和PDF已打包发布在星球,欢迎对.NET安全关注和关心的同学加入我们[dotNet安全矩阵],在这里能遇到有情有义的小伙伴,大家聚在一起做一件有意义的事。欢迎大伙持续关注,交流。为了帮助研发大佬们熟悉和掌握.NET应用安全相关的漏洞介绍和修复解决方案,我们创建了一个.NET应用安全建设的星球,专门科普.NET领域相关的安全漏洞和提供漏洞修复方法,星球部分主题如下图所示。感兴趣的研发大佬们可以加入我们一起学习交流。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值