ConfuserEx脱壳出错?
DNSPY 参数如下// 全局类型: <Module>
// 入口点: Form0.Main
// 架构: AnyCPU (64位优先)
// 运行库: .NET Framework 2.0
// 时间戳: 5E21635B (2020/1/17 星期五 15:33:47)
using System;
using System.Runtime.CompilerServices;
[module: SuppressIldasm
[module: ConfusedBy("ConfuserEx v1.0.0"
[~] Module Name: set.exe
[~] Module Size: 181 KB
[~] CLR Version: v2.0
[~] File queue: 1/1
[~] Detected: ConfuserEx v1.0.0
NoFuserEx报错
未经处理的异常:System.Reflection.TargetInvocationException: 调用的目标发生了异常。 ---> System.InvalidProgramException: 公共语言运行时检测到无效的程序。
在 ?????????????????????????????????????????()
--- 内部异常堆栈跟踪的结尾 ---
在 System.RuntimeMethodHandle.InvokeMethod(Object target, Object[] arguments, Signature sig, Boolean constructor)
在 System.Reflection.RuntimeMethodInfo.UnsafeInvokeInternal(Object obj, Object[] parameters, Object[] arguments)
在 System.Reflection.RuntimeMethodInfo.Invoke(Object obj, BindingFlags invokeAttr, Binder binder, Object[] parameters, CultureInfo culture)
在 System.Reflection.MethodBase.Invoke(Object obj, Object[] parameters)
在 NoFuserEx.Deobfuscator.Deobfuscators.ResourcesDeobfuscator.Deobfuscate(AssemblyManager assemblyManager) 位置 F:\UnConfuserEx\NoFuserEx-master\NoFuserEx-master\NoFuserEx\NoFuserEx\Deobfuscator\Deobfuscators\ResourcesDeobfuscator.cs:行 号 39
在 NoFuserEx.Deobfuscator.DeobfuscatorManager.Start() 位置 F:\UnConfuserEx\NoFuserEx-master\NoFuserEx-master\NoFuserEx\NoFuserEx\Deobfuscator\DeobfuscatorManager.cs:行号 57
在 NoFuserEx.Program.Main(String[] args) 位置 F:\UnConfuserEx\NoFuserEx-master\NoFuserEx-master\NoFuserEx\NoFuserEx\Program.cs:行号 28
反编译码中无法找到koi
没有发现释放解密模块
脱出来了
Microsoft.VisualBasic.FileSystem.FileCopy(Application.StartupPath + "\\zy\\360安全浏览器.exe", folderPath + "\\360安全浏览器.exe");
}
else
{
IL_B5:
num2 = 10;
if (Strings.InStr(@string, "Google Chrome", CompareMethod.Binary) > 0)
{
IL_C9:
num2 = 11;
num3++;
IL_D1:
num2 = 12;
Microsoft.VisualBasic.FileSystem.FileCopy(Application.StartupPath + "\\zy\\Google Chrome.exe", folderPath + "\\Google Chrome.exe");
}
else
{
IL_F9:
num2 = 14;
if (Strings.InStr(@string, "2345加速浏览器", CompareMethod.Binary) > 0)
{
IL_10D:
num2 = 15;
num3++;
IL_115:
num2 = 16;
Microsoft.VisualBasic.FileSystem.FileCopy(Application.StartupPath + "\\zy\\2345加速浏览器.exe", folderPath + "\\2345加速浏览器.exe");
}
else
{
IL_13D:
num2 = 18;
if (Strings.InStr(@string, "360极速浏览器", CompareMethod.Binary) <= 0)
{
IL_154:
num2 = 22;
if (Strings.InStr(@string, "QQ浏览器", CompareMethod.Binary) > 0)
{
IL_168:
num2 = 23;
num3++;
IL_170:
num2 = 24;
Microsoft.VisualBasic.FileSystem.FileCopy(Application.StartupPath + "\\zy\\QQ浏览器.exe", folderPath + "\\QQ浏览器.exe");
}
else
{
IL_195:
num2 = 26;
if (Strings.InStr(@string, "Firefox", CompareMethod.Binary) > 0)
{
IL_1A9:
num2 = 27;
num3++;
IL_1B1:
num2 = 28;
Microsoft.VisualBasic.FileSystem.FileCopy(Application.StartupPath + "\\zy\\Firefox.exe", folderPath + "\\Firefox.exe");
}
}
}
else
{
IL_1D6:
num2 = 19;
num3++;
IL_1DE:
num2 = 20;
Microsoft.VisualBasic.FileSystem.FileCopy(Application.StartupPath + "\\zy\\360极速浏览器.exe", folderPath + "\\360极速浏览器.exe");
}
}
}
}
IL_201:
num2 = 30;
}
if (enumerator != null)
这不是推广? @周易 此switch非彼switch,我们脱壳后反编译效果差,那是因为VB.NET启用了On Error Resume Next的原因,并非ConfuserEx的混淆:
Module Module1
Sub Main()
On Error Resume Next
Console.WriteLine()
Console.WriteLine()
Console.WriteLine()
Console.WriteLine()
Console.WriteLine()
End Sub
End Module
新建一个简单的VB.NET控制台程序,编译此代码,用dnSpy或ILSpy看,已经有大量goto了
你截图中的smethod_2函数,也是启用了On Error Resume Next的,但是我看你截图,把这种switch也清理掉了,很神奇啊,你用的什么工具?AI-Deobfucator?没听过啊 目标文件呢? SoftCracker 发表于 2020-4-3 20:24
目标文件呢?
文件已上传至https://www.lanzouj.com/iayuexg 可以脱壳,但是很不幸,这个软件是VB.NET开发的,而且启用了 On Error Resume Next,即便没加壳,反编译效果也很差
SoftCracker 发表于 2020-4-3 21:14
可以脱壳,但是很不幸,这个软件是VB.NET开发的,而且启用了 On Error Resume Next,即便没加壳,反编译效 ...
哇,大佬是怎么跳过错误的?
这软件恶意推广,想看看怎么回事 SoftCracker 发表于 2020-4-3 22:14
可以脱壳,但是很不幸,这个软件是VB.NET开发的,而且启用了 On Error Resume Next,即便没加壳,反编译效 ...
挠头,不大对劲 所以哪位大佬能分析下noconfuserex为什么异常呢?
所以为什么noconfuserex会异常呢? @艾莉希雅 你这个不对吧?try catch都没有?