zoukankan      html  css  js  c++  java

  • .Net Reactor 5脱壳教程

    今天别人发来一个.Net的DLL让我脱壳,第一步自然是先扔进de4dot



    我这个de4dot 是集成了  Ivancito0z / TheProxy / PC-RET 4.9mod / wuhensoft(5.0) 各大神修改的版本,无法脱壳,肯定就是新的reactor 5加的壳了。
    我们加上 -v 参数显示错误


    在解密资源的时候出错了,我们打开de4dot的源码,找到报错的位置

    懒的分析原因,直接注释掉,编译de4dot 后重新进行脱壳。

    成功脱壳,打开看看

    发现字符串未被正确解密。
    我们再次解密:

    命令行(用法和token获取具体参考de4dot帮助)

    de4dot SixTow-cleaned.dll --strtyp delegate --strtok 0x060001BA -v


    解密后发现字符串依然未解密,我们再回头看解密函数

     
    01
    02
    03
    04
    05
    06
    07
    08
    09
    10
    11
    12
    13
    14
    15
    [Class8.Attribute0(typeof(Class8.Attribute0.Class9<object>[]))]
        internal static string smethod_10(int int_5)
        {
            if (Class8.byte_1.Length == 0)
            {
                BinaryReader binaryReader = new BinaryReader(Class8.assembly_0.GetManifestResourceStream("pF5NG7nGmlpjNJS2XA.xvDeEZ4QpSKik8SYCO"));
                binaryReader.BaseStream.Position = 0L;
                byte[] array = binaryReader.ReadBytes((int)binaryReader.BaseStream.Length);
                binaryReader.Close();
                byte[] array2 = new byte[32];
                array2[0] = 177;
                array2[0] = 136;
                array2[0] = 181;
                array2[1] = 96;
                array2[1] = 150;


    解密是通过资源  pF5NG7nGmlpjNJS2XA.xvDeEZ4QpSKik8SYCO 解密出来的,但是pF5NG7nGmlpjNJS2XA.xvDeEZ4QpSKik8SYCO在de4dot脱壳的时候清理了。

    好吧,我们从原程序中将 pF5NG7nGmlpjNJS2XA.xvDeEZ4QpSKik8SYCO 提取出来,并加入 脱壳后的文件(如图)。

    再次使用
    de4dot SixTow-cleaned.dll --strtyp delegate --strtok 0x060001BA -v
    进行解密


    发现成功解密。脱壳完成(部分混淆是其它DLL中的,不在此文讨论范围)



    欢迎指正。
  • 相关阅读:
    配置apache的文件访问路径
    php 常量const
    php接口interface的使用
    php 抽象类abstract
    php 面向对象三大特点:封装、继承、多态
    程序员的情怀《从前慢》木心
    php static静态属性和静态方法
    php面向对象的构造方法与析构方法
    关于php变量的赋值和引用的区别
    angular4.0微信oAuth第三方认证的正确方式
  • 原文地址:https://www.cnblogs.com/gsyifan/p/DoNetReactor5Unpack.html
Copyright © 2011-2022 走看看