.Net程序用de4dot反混淆后无法启动
测试程序可以在这里下载,解压后大小5.3MB,不需要安装。链接: https://pan.baidu.com/s/1GVCUW6h02h6qyYHsjRiEOw
提取码: 9peu
用DIE检测,提示“Crypto Obfuscator For .Net(5.X)[-]”。用de4dot -d检测,提示也是“Crypto Obfuscator”。
直接用de4dot不加任何参数反混淆后可以生成cleaned后的程序,但是双击后没有任何反映,而原始程序双击后会出现一个splash screen然后程序正常界面出现,开始正常工作。
请问一下这种情况该怎么办呢?我用dnspy调试无法运行的那个cleaned的程序,里面确实代码都可读了(原始程序代码都不可读)。
原始程序:
de4dot处理之后无法运行的程序:
同求,不过建议先从进程DUMP出再de4dot,看看能不能运行。你的不能运行有没有错误信息? codeshif 发表于 2020-4-12 14:13
同求,不过建议先从进程DUMP出再de4dot,看看能不能运行。你的不能运行有没有错误信息?
我已经改变策略了,在用de4dot的时候,加上--dont-rename和--keep-***那几个选项,这样一般de4dot以后程序还可以运行,但是代码一般是乱的,不过没关系,我现在就是要让自己习惯这种乱的代码,其实即使de4dot rename了变量方法名之类的也是类似:method1、method2这样的,如果乱码的话是类似\0x0008b\0x0008c、\0x0009a\0x0009b这样的,其实习惯了也无所谓了,哈哈! codeshif 发表于 2020-4-12 14:13
同求,不过建议先从进程DUMP出再de4dot,看看能不能运行。你的不能运行有没有错误信息?
啊,我才发现你是今天才注册的,这是你的第一个帖子呀。
我描述的这个问题您有什么解决办法么?您是怎么处理的? 本帖最后由 codeshif 于 2020-4-12 23:13 编辑
大白痴先生 发表于 2020-4-12 17:22
啊,我才发现你是今天才注册的,这是你的第一个帖子呀。
我描述的这个问题您有什么解决办法么?您是怎么 ...
你好,不好意思,我也是dump后de4dot不可运行,不过源码可读,这样可以分析逻辑并制作注册码吧? 本帖最后由 codeshif 于 2020-4-12 23:36 编辑
大白痴先生 发表于 2020-4-12 17:19
我已经改变策略了,在用de4dot的时候,加上--dont-rename和--keep-***那几个选项,这样一般de4dot以后程 ...
我靠大哥你太牛逼了,帮了我大忙了,哈哈谢谢!!!{:1_893:}
我使用了--dont-rename和--keep-types也可以运行,而且有源码可见,您也可以试试看。 codeshif 发表于 2020-4-12 23:22
我靠大哥你太牛逼了,帮了我大忙了,哈哈谢谢!!!
我使用了--dont-rename和--keep-types也可 ...
我的情况不行。
你这个软件de4dot检测出来是什么软件加密的? 大白痴先生 发表于 2020-4-13 02:57
我的情况不行。
你这个软件de4dot检测出来是什么软件加密的?
是这个,Detected Crypto Obfuscator。
DIE查壳是Crypto Obfuscator For .Net(5.X)。 codeshif 发表于 2020-4-13 04:22
是这个,Detected Crypto Obfuscator。
DIE查壳是Crypto Obfuscator For .Net(5.X)。
我的和你的一样,但是我的deobfuscate后都是乱码,要是不加上面说的那几个参数就无法运行。我估计是Crypto Obfuscator在加密的时候有多个加密选项,咱们两个的软件可能加密方式不同... 大白痴先生 发表于 2020-4-13 13:05
我的和你的一样,但是我的deobfuscate后都是乱码,要是不加上面说的那几个参数就无法运行。我估计是Crypt ...
嗯嗯很可能{:1_907:}
页:
[1]