ConfuseEx的变种,求助识别壳类型
可以从上图看到,
1、类名和方法名都是有混淆
2、字符串加密了\u0005\u2009\u2201.\u0002(749468163)解密得到字符串
3、函数调用走的代{过}{滤}理方式
这种壳有人见过吗,上面的混淆可以用de4dot处理,字符串解密也可以自己写代码还原。但是这个代{过}{滤}理调用则不行。因为比较复杂。
是从资源中访问某个加密的资源,然后再跳转,由于某些原因。样本无法上传,如果有人遇到过种壳的请指教一下 1. 初步判断图2是代码虚拟化
2. 感觉不是ConfuserEx,具体需上传文件进一步判断
3. 为啥不直接截图,而是要拍照,难道你是手机发贴? 本帖最后由 anywhereyang 于 2020-10-22 14:08 编辑
SoftCracker 发表于 2020-10-21 16:58
1. 初步判断图2是代码虚拟化
2. 感觉不是ConfuserEx,具体需上传文件进一步判断
3. 为啥不直接截图,而是 ...
因为某些原因确实不是截图的,图2不是虚拟机,我确信,程序是从资源中解密一块内容,然后用流读出函数名和某些token的值,然后各种偏移读取,最后执行反射,他是中间的过程比较复杂,我调试了一部分,但没调出来,程序的话。这个不太好发上来,附件也不支持那么大的文件,有8M,有兴趣的话我私发给你
>图2不是虚拟机,我确信
我不知道你所说的虚拟机是什么意思,估且认为跟我说的代码虚拟化(Code Virtualization)是同义词,估计你要被打脸了
>程序是从资源中解密一块内容,然后用流读出函数名和某些token的值,然后各种偏移读取.....
这段话为什么能证明不是虚拟化?我没看懂逻辑所在
即便没有文件,根据我的经验,我也可以大胆判断:这是Eazfuscator壳,并且启用了代码虚拟化 SoftCracker 发表于 2020-10-22 16:51
>图2不是虚拟机,我确信
我不知道你所说的虚拟机是什么意思,估且认为跟我说的代码虚拟化(Code Virtualiza ...
代码虚拟化是怎么个搞法,,,我看他这个流程像是从资源中读出要执行的代码的一些关键信息,然后最后用反射调用,简单来说,本来是调用String.ToCharArray()这个函数,他是保这个函数名和类型信息(当然还有可能有参数)分别保存在资源中,用的时候读出来,最后反射调用,所以我不认为这是虚拟化,, SoftCracker 发表于 2020-10-22 16:51
>图2不是虚拟机,我确信
我不知道你所说的虚拟机是什么意思,估且认为跟我说的代码虚拟化(Code Virtualiza ...
方便的话加一个联系方式,谢谢
页:
[1]