为什么我这个DLL脱不了壳(ConfuserEx v1.0.0)
我用了 UnConfuserEx 试了下,脱出来的还是会有很多不明成员名,后面用了 de4dot 然后在写入文件 1.3M时 de4dot卡死了,源文件是 3.8M
链接:https://pan.baidu.com/s/1A5gcLPxH2nlT_jPTceRBQg
提取码:abcd 你方法都不对。。。
懒得看附件,给你说说这壳的处理方向:
1.全自动脱壳,这类型脱壳机是有的,我见过不少于5个不一样的,伸手党少年,努力搜吧。
2.全套零散的工具。比如cc的套件,比如其他人出的工具,相互配合。要用到的工具数量少则3、4个,多的有可能到达近十个,不那么懒的伸手党,努力搜吧。
3.前半手脱,主要是 AntiTamper 和 AntiDump,dump koi,后半用工具解密和修复,比如cc的套件,或者其他工具,这是我曾经最喜欢的方式, dnspy 跑起,各种断点dump,爱研究的少年,努力搜教程吧。
4.全手脱,唔,这个可以忽略不计。
上面都是废话,正经的如下:
a.ConfuserEx 分 原版和mod版本,由于开源+强度大的关系,各种公开的、非公开的 Mod 版本非常多,甚至有些对现有的脱壳机做了针对处理,并不能保证某一个工具或者一套工具100%通吃。
b.ConfuserEx 的脱壳实际上非常多样化,根据勾选的选项不一样,mod版本的不一样,脱壳的方式和处理有可能很不一样,比如有些直接跑起来就能dump出koi,有些只能一步步按上面的思路脱。
c.上面a和b综合得出脱壳方式可能很多变动,不过幸运的是,很多变动都相对局限,脱壳工具不能通吃,但是手动分析的流程和思路却能很大程度通吃。大抵都是处理各种 anti,dump出koi(mod版本名字可能会变),修复入口,字符串,常量,流程各种解密。
d.不要老想着百分百解密代码,只有原版的ConfuserEx可以非常非常大程度解密,其他的mod版本,有点什么小意外的,也是正常的。
e.或许有些工具,可以高程度解密代码,但是无法运行或者运行起来出异常,这也是非常正常的。比如mod版本某些东西针对性变动了,有些东西看起来解密成功,其实是失败了的。
f.wwh有个小工具,对于原版的ConfuserEx很有用,可以省掉以上某些步骤。
...我特么,这么努力打字回帖,居然还有大半个钟才到吃饭时间。。。。。
SoftCracker 发表于 2020-11-18 17:17
> c.上面a和b综合得出脱壳方式可能很多变动,不过幸运的是,很多变动都相对局限,脱壳工具不能通吃,但是手 ...
过时间太久了,不知道丢哪去了。前两年有段时间专门研究ConfuserEx,见过不少mod版,有一些是从接单群拿的,有些是国外下的。从0.6.0到1.0.0都有。
其实像你这种有能力的,也没必要特地找各种demo,遇到的时候自然就会了。
如果你实在无聊,我可以给你说个现成的软件练手,相对有点代表性的。
tylearymf 发表于 2020-11-18 17:49
我的试了下,效果跟你的很是不同,是工具问题吗,还是姿势不对?
看我的帖子,刚发过一个脱壳机
{:17_1061:} 本帖最后由 非凡公子 于 2020-11-18 11:33 编辑
楼主这个是什么软件只有一个dll么。 用ConfuserEx-Unpacker-v2.0 脱壳 然后用dedot4去混淆
本帖最后由 XINGZHE2020 于 2020-11-18 13:05 编辑
你下载的是标准的ConfuserEx1.0版本吗? 零下八度 发表于 2020-11-18 11:18
你方法都不对。。。
懒得看附件,给你说说这壳的处理方向:
1.全自动脱壳,这类型脱壳机是有的,我见过不 ...
谢谢大佬的详细解答 罗萨 发表于 2020-11-18 10:50
弱弱的问下,这个是哪些工具脱出来的效果,能分享下吗 非凡公子 发表于 2020-11-18 11:28
楼主这个是什么软件只有一个dll么。 用ConfuserEx-Unpacker-v2.0 脱壳 然后用dedot4去混淆
网上的一个商业软件,还有其他东西,但是只有这个看到是有加了壳的 XINGZHE2020 发表于 2020-11-18 12:56
你下载的是标准的ConfuserEx1.0版本吗?
应该是吧,1.0版本的 tylearymf 发表于 2020-11-18 13:54
网上的一个商业软件,还有其他东西,但是只有这个看到是有加了壳的
楼主可否告知一下软件名称:{:1_893:}