网站 › 『脱壳破解讨论求助区』 › dotnet逆向dll,反混淆后不知道如何入手，求助大神给点思路

renrenduxing 发表于 2023-4-8 16:00

dotnet逆向dll,反混淆后不知道如何入手，求助大神给点思路

破解的dll：HTMLEditor.dll
主要实现的结果：该dll使用后，等待几秒钟会弹出激活窗口，主要去除这个弹窗让其不在弹出。
查壳结果：
MS Visual C# / Basic.NET- DLL - IntelliLockv.1.5-3.0 [ .NET Reactor 6.x - 6.9 ] - www.eziriz.com ,
Overlay :Signed
经过测试，该dll版本为.net非.net framwork

使用反混淆工具：
NETReactorSlayer 6.4 2022
但是乱码还是比较多
根据过了几秒才弹出激活窗口的特性，推测是timer进行
于是用dnSpy搜索，但是发现没关联，同时通过断点，也没有进入该timer_0_Tick方法

请问还有什么办法可以找到这个弹窗的地方
附件说明：
需要破解的在压缩包内，命名为：HTMLEditor原dll
压缩包外的HTMLEditor.dll是使用NETReactorSlayer 6.4 2022反混淆之后的
弹窗具体信息可以参考附件中的图片1
感谢大佬支招
压缩包下载：https://wwi.lanzoup.com/iox2C0sf3bpi

3yu3 发表于 2023-4-11 12:00

本帖最后由 3yu3 于 2023-4-11 16:22 编辑


在MouseDown事件激活的这个方法中进行注册验证，验证不通过会弹出注册窗口，具体看图，




RSA签名验证，一般就爆破了事。



图中画圈的地方是爆破点。也可以找到相关位置后16进制编辑修改可一字节爆破，对原文件改动最小，避免反混淆及编译修改造成出错。。。



注册码部分规则参考，爆破无需考虑。

pjy612 发表于 2023-4-11 20:23

本帖最后由 pjy612 于 2023-4-11 20:29 编辑

类库在 Nuget 上 叫 Zoople.HTMLEditor

LicenceKey= KPH3784-100107-9100
LicenceKeyInlineSpelling= AMB3784-100107-9100F58A

LicenceActivationKey= sign(LicenceKey) + base64(ascii("Environment.MachineName.ToString() + "|" + Environment.UserName"))


RSA 拿 harmony 处理下就行了。。。
公钥 Module

xp1wLCz1Sd6IGOlZI/joEI/Bs7G2K6D63+5NLeCsweindmA4jhTc+TZ0OvBJVbKoACIjr82J9rcY12XwNIQuFlAzRQsrNk1FU4sw+sMyCjmgJqsvA6KfDHrkAec5ul5zBsdSfENhQZCJ6fydgb5q6zXG1aNGWI5VgMa7h8YVVXk=

{:301_986:}

pjy612 发表于 2023-4-11 18:09

{:301_986:}既然是库，为何不直接试试 harmony ？或者如果特征明显直接反射赋值？

pjy612 发表于 2023-4-11 20:16

本帖最后由 pjy612 于 2023-4-11 20:27 编辑

3yu3 发表于 2023-4-11 12:00
在MouseDown事件激活的这个方法中进行注册验证，验证不通过会弹出注册窗口，具体看图，



哇 大佬脱的好干净。。。变量名都还原了。。。

咱刚处理完。。。
话说 大佬 不考虑 来个教程？


emmm 不会是大佬你为了方便分析 在 dnspy 里面 手动改了方法名吧？？？
{:301_1008:}好像发现了一个好招式。。。反正拿来看的。。。

3yu3 发表于 2023-4-11 20:48

pjy612 发表于 2023-4-11 20:16
哇 大佬脱的好干净。。。变量名都还原了。。。

咱刚处理完。。。


被你发现了，是手动修改的，经常被绕来绕去找不到北。大佬的harmony及反射方法用的炉火纯青，想向你学习下了。

pjy612 发表于 2023-4-11 21:00

本帖最后由 pjy612 于 2023-4-11 21:03 编辑

3yu3 发表于 2023-4-11 20:48
被你发现了，是手动修改的，经常被绕来绕去找不到北。大佬的harmony及反射方法用的炉火纯青，想向你学习 ...
{:301_995:}
因为之前一直懒得动DLL 没想过直接去改他。。。
现在想想，反正是拿来看和分析的。。。随便改又不用。。。定位到关键点就行了。。。

感谢大佬 又学了一招。。。

至于 harmony 。。。拿 BepInEx 写几个 U3D游戏的Mod 基本就会了。。。
可以简单理解成 harmony是个 动态代{过}{滤}理库 或 AOP 库。可以对第三方的dll 进行 切面处理。
这样就很好用了。。。至少比改 IL 清楚直观很多。

3yu3 发表于 2023-4-12 18:28

pjy612 发表于 2023-4-11 21:00
因为之前一直懒得动DLL 没想过直接去改他。。。
现在想想，反正是拿来看和分析的。。。随 ...

感谢大佬指点。{:1_893:}不懂之处到时还得向你请教:lol

renrenduxing 发表于 2023-4-14 14:33

pjy612 发表于 2023-4-11 20:23
类库在 Nuget 上 叫 Zoople.HTMLEditor

LicenceKey= KPH3784-100107-9100


请问下，harmony是啥软件，因为我是小白，刚开始破解点，这个我尝试，但是仅仅是不弹窗，后面会不会出错也不清楚，
你这个是直接就弄出了序列号，拿去填写就可以？

renrenduxing 发表于 2023-4-14 14:41

3yu3 发表于 2023-4-11 12:00
在MouseDown事件激活的这个方法中进行注册验证，验证不通过会弹出注册窗口，具体看图，




感激大佬给的思路，我这边尝试下

查看完整版本: dotnet逆向dll,反混淆后不知道如何入手，求助大神给点思路