[.NET]脱壳求助ConfuserEx+Eazfuscator.NET
程序是一个.NET编写的小众游戏辅助.我检测过是加了2重壳,最外面的是ConfuserEx.利用脱壳工具脱掉后检测还存在Eazfuscator.NET壳.这个时候拉进去de4net后会导致de4net卡住假死.用一些特殊的修改版不会卡死,但是也没脱掉(字符串还是混淆过的)..
请大神帮忙分析是咋什么情况.
附上程序文件:
https://share.weiyun.com/31rhJE1q
这个只是一个单文件.并非带所有DLL..
如果有需要完整文件的请留言.
感谢.
我没说明白吗?I服了U!
当然,不止这一处,把所有地方都改掉就行(一共也就两三处)
这是新版Eazfuscator.NET吗?感觉挺奇怪的。
另外,你这个文件是别人的破解版,并不是原版,你有原版文件吗? SoftCracker 发表于 2020-8-15 18:10
这是新版Eazfuscator.NET吗?感觉挺奇怪的。
另外,你这个文件是别人的破解版,并不是原版,你有原版文件 ...
原版文件是只有Eazfuscator.NET 的..可以直接de4net脱掉.那个我会.
是的.这个是别人破解的过的.我的想法就是想脱壳后研究下他的思路.
把原版文件发来,我对照一下 SoftCracker 发表于 2020-8-15 20:22
把原版文件发来,我对照一下
https://share.weiyun.com/Pv3xTF0F
这个是原版的.
本帖最后由 SoftCracker 于 2020-8-15 22:49 编辑
de4dot脱壳失败应该是因为加了双层壳后,IL有所改变(虽然功能未变),导致特征匹配失败
Eazfuscator.NET的字符串反混淆逻辑很复杂,不好改,我也懒得看了
不过可以用动态字符串反混淆(--strtyp delegate ),不过需要首先patch掉GetCallingAssembly和StackTrace
SoftCracker 发表于 2020-8-15 22:47
de4dot脱壳失败应该是因为加了双层壳后,IL有所改变(虽然功能未变),导致特征匹配失败
Eazfuscator.NET ...
不过需要首先patch掉GetCallingAssembly和StackTrace
请教下这里应该如何操作?
GetCallingAssembly => GetExecutingAssembly
new StackTrace(2, false) => new StackTrace(0, false) SoftCracker 发表于 2020-8-15 23:10
GetCallingAssembly => GetExecutingAssembly
new StackTrace(2, false) => new StackTrace(0, false)
{:1_907:}
有点看不懂.是在dnspy里面修改?
页:
[1]
2