某小程序破解工具脱壳+反编译

wxip

相关文件

名称	作用	下载地址
目标软件		aHR0cHM6Ly94aWFvamluZ2UubGFuem91Yi5jb20vaVZCcUowanR1cDJi
Exeinfo PE	检测壳	https://github.com/ExeinfoASL/ASL
NETReactorSlayer	脱壳	https://github.com/SychicBoy/NETReactorSlayer
dnspy	反编译+调试	https://github.com/dnSpy/dnSpy

具体过程

1. 看一下文件结构
   

   
   除了主程序外，Common.dll也挺可疑的，都分析下

2. 用 Exeinfo PE 检测壳，都使用了 .Net Reactor 加壳
   

   
   

3. 使用 NETReactorSlayer 脱壳，默认参数即可
   

4. 把 Common_Slayed.dll 改回 Common.dll ，利用 dnspy 反编译（起了下目标程序发现需要 .net framework ，所以这边需要下载 .net framework 版本的 dnspy ）
   

   
   加密工具类和 http 请求类都在 Common.dll 里，下断点，开始调试。
   
   
   先看下解密出来了什么，找到一个特殊的结果，存在 auth_info 字段，并且提示信息与程序页面一致，猜测 -45 为异常 code ，找下处理的地方。
   
   这个 LoadingForm 看着挺像的，看下具体代码
   
   code 为 -45 时，打开提示框，为0则进行下一步。尝试修改一下num2，存在无法编译的代码。。。。只能编辑IL指令
   
   
   
   把多余指令改为 nop ，最后赋值一个 0（ldc.i4.0），看下结果，修改成功。
   
   保存文件，重启，成功进入。
   

   意外发现

   这程序自动上传的数据还挺多。。。
   

紫云互联

• 根据楼主的分析，结合自己实操有两种处理办法
• 第一种 ：楼主的方法
• 第二种：编译当前代码获取把result.data转换成list，然后取list.auth_info到code，拿到之后直接进行编译替换
  

ojp2008520

Hmily 发表于 2023-4-24 11:27
Exeinfo PE也有github的地址：https://github.com/ExeinfoASL/ASL

根据版规，不能提供哦，可以根据步骤自己试试。或者试下unveilr,一样的效果，还开源。https://github.com/r3x5ur/unveilr
根据楼主提供的地址，我进去GitHub 链接的是另外一个下载地址 不知道是否有毒啊，打开就闪退

Hmily

Exeinfo PE也有github的地址：https://github.com/ExeinfoASL/ASL

ok378

谢谢楼主分享

CharlesDkz1

感谢楼主

DJxiaojun

终于有人对这个软件下手了 哈哈  c的咋也不懂  就是感觉牛逼

solo2015

终于有人对这个软件下手了 哈哈   

最开始是免费在吾爱发布， 后面就收费了。

pjy612

希望把图片往吾爱传一份。。。。不然 有些图 可能看不到。。比如咱。。。囧

wxip

pjy612 发表于 2023-4-24 14:27
希望把图片往吾爱传一份。。。。不然 有些图 可能看不到。。比如咱。。。囧

已修改，感谢提醒

vcdemon

刚好用上了，照着来一遍管用，给力。感谢大佬

LaoKuang

谢谢楼主分享