zhuzhudexin 发表于 2019-8-6 23:26

balbel 去掉代{过}{滤}理反混淆的思路

balbel去掉反射代{过}{滤}理混淆的时候,无法找到调用的方法和对象
1.函数调用出,调用反射如下:
// Token: 0x060023BA RID: 9146 RVA: 0x0029FC60 File Offset: 0x0029DE60
    public object a(object kpx, object[] kpy)
    {
      return ((Delegate)this.\uE000.GetType().InvokeMember(this.\uE001, BindingFlags.InvokeMethod, null, this.\uE000, new object[]
      {
            kpx
      })).DynamicInvoke(kpy);
}
我以为得到代{过}{滤}理对象Delegate 然后得到对象名字和方法名字,然后调用kpy参数就可以了。如图,得到mkilopvxpkfsmfjlgp 对象和 方法mkiloppjueyicgjngb 就可以得到如下结果
public object a(object kpx, object[] kpy)
    {
   mkilopvxpkfsmfjlgp .mkiloppjueyicgjngb (kpy);
}

2.我跟踪发现函数方法名字和对象,不是我期望的对象,

-                this        {\uE1F5}        System.Delegate {\uE1F5}
+                Method        {Void (AIOBotV2.App, System.Windows.StartupEventArgs)}        System.Reflection.MethodInfo {System.Reflection.Emit.DynamicMethod.RTDynamicMethod}
+                Target        {AIOBotV2.App}        object {AIOBotV2.App}
+                _invocationCount        0x00000000        System.IntPtr
                _invocationList        null        object
+                _methodBase        {Void (AIOBotV2.App, System.Windows.StartupEventArgs)}        object {System.Reflection.Emit.DynamicMethod.RTDynamicMethod}
+                _methodPtr        0x063A6A88        System.IntPtr
+                _methodPtrAux        0x00000000        System.IntPtr
+                _target        {AIOBotV2.App}        object {AIOBotV2.App}
-                args        {object}        object[]
+                        {System.Windows.StartupEventArgs}        object {System.Windows.StartupEventArgs}
3.求高手给一个反混淆的思路
页: [1]
查看完整版本: balbel 去掉代{过}{滤}理反混淆的思路