一次ConfuserEx修改版反混淆遇到的问题
本帖最后由 罗萨 于 2020-9-12 11:14 编辑近日遇到了一个改写自ConfuserEx混淆的软件
该软件NETFramework版本4.7.2
可以看到程序的类名,方法等被保护的很好
该软件iat被加密,入口点被隐藏,_corexemain也搜不到.
该案例的元数据表(话说dnspy中下面表中的红色代表什么?)
尝试修改NoConfusrEx(脱壳软件)代码
发现ModuleDefMD.MetaData.TablesStream.FileTable.Rows改变量值获取不到为0,一般原版ConfuserEx壳此处为1,并且下面的ModuleNames值为"koi"
案例中未发现File表,下图是原版壳加的例子
现在不知该从何下手,请各位大佬指点一下{:1_893:}@凉游浅笔深画眉 @wwh1004
软件需要别的东西才能启动,想学习一下脱壳的过程
https://luosa.lanzouj.com/idkhngjsfpi
SoftCracker 发表于 2020-9-13 15:13
@wwh1004这个不能叫差不多吧?mkaring的版本是所有开源ConfuserEx修改版中改动最大的,而且是唯一一个持 ...
原来是这样,我用dnspy将主程序脱出来之后,已经可以看到代码了,不过混淆还是没去掉,用de4dot处理的还是不干净,方法,字符串没有还原,还有swtich混淆
dump之后能看到代码
de4dot后
虽然可以直接修改代码了,不过基本上还是没还原出来{:301_971:} 本帖最后由 SoftCracker 于 2020-9-13 15:20 编辑
@wwh1004这个不能叫差不多吧?mkaring的版本是所有开源ConfuserEx修改版中改动最大的,而且是唯一一个持续更新的
@罗萨
> 根据这个软件作者所说,他在原版confuser上经过了修改
他应该就是那么随口一说,这是一个开源的深度修改版,并不是该软件的开发者自己随意弄的修改版
另外, 64位的.NET程序入口点本来就是0,因为这个数据已经不再使用了
导航啊,我也是玩D3的,ROSBOT有破解版没 公开的工具可以用的,只有CodeCracker的那一套,还有个cawk的ConfuserEx Unpacker。github上还有de4dot修改版,据说支持ConfuserEx原版脱壳,你去找找看 看样子就是原版的ConfuserEx,也没什么变化,参数的话应该开了x86编码模式 @wwh1004 不是原版,是修改版
@罗萨 你说的那些特征都没有用,修改版可以任意改
wwh1004 发表于 2020-9-12 20:28
看样子就是原版的ConfuserEx,也没什么变化,参数的话应该开了x86编码模式
感谢大佬的指点,根据这个软件作者所说,他在原版confuser上经过了修改,还有一个我想问的是,大部分情况下,.net脱壳入口点是必须要修复的吗,我看这个软件入口地址是0 SoftCracker 发表于 2020-9-12 21:49
@wwh1004 不是原版,是修改版
@罗萨 你说的那些特征都没有用,修改版可以任意改
感谢大佬百忙之中的回复,请问该修改版与原版相比,有哪些地方需要我学习,另外我想学习这个软件的脱壳的话要从哪里开始入手呢,现在我就是不知道该从哪里开始,缺少一个流程上的思路{:1_893:} https://github.com/mkaring/ConfuserEx 和原版差不多
页:
[1]
2