某小程序破解工具脱壳+反编译
本帖最后由 wxip 于 2023-4-24 14:51 编辑# 相关文件
| 名称 | 作用 | 下载地址 |
| --- | --- | --- |
| 目标软件 || aHR0cHM6Ly94aWFvamluZ2UubGFuem91Yi5jb20vaVZCcUowanR1cDJi |
| Exeinfo PE | 检测壳 | (https://github.com/ExeinfoASL/ASL) |
| NETReactorSlayer | 脱壳 | (https://github.com/SychicBoy/NETReactorSlayer) |
| dnspy | 反编译+调试 | (https://github.com/dnSpy/dnSpy) |
# 具体过程
1. 看一下文件结构
除了主程序外,Common.dll也挺可疑的,都分析下
2. 用 Exeinfo PE 检测壳,都使用了 .Net Reactor 加壳
3. 使用 NETReactorSlayer 脱壳,默认参数即可
4. 把 Common_Slayed.dll 改回 Common.dll ,利用 dnspy 反编译(起了下目标程序发现需要 .net framework ,所以这边需要下载 .net framework 版本的 dnspy )
加密工具类和 http 请求类都在 Common.dll 里,下断点,开始调试。
先看下解密出来了什么,找到一个特殊的结果,存在 auth_info 字段,并且提示信息与程序页面一致,猜测 -45 为异常 code ,找下处理的地方。
这个 LoadingForm 看着挺像的,看下具体代码
code 为 -45 时,打开提示框,为0则进行下一步。尝试修改一下num2,存在无法编译的代码。。。。只能编辑IL指令
把多余指令改为 nop ,最后赋值一个 0(ldc.i4.0),看下结果,修改成功。
保存文件,重启,成功进入。
# 意外发现
这程序自动上传的数据还挺多。。。
本帖最后由 紫云互联 于 2023-6-4 22:25 编辑
[*]根据楼主的分析,结合自己实操有两种处理办法
[*]第一种 :楼主的方法
[*]第二种:编译当前代码获取把result.data转换成list,然后取list.auth_info到code,拿到之后直接进行编译替换
Hmily 发表于 2023-4-24 11:27
Exeinfo PE也有github的地址:https://github.com/ExeinfoASL/ASL
根据版规,不能提供哦,可以根据步骤自己试试。或者试下unveilr,一样的效果,还开源。https://github.com/r3x5ur/unveilr
根据楼主提供的地址,我进去GitHub 链接的是另外一个下载地址 不知道是否有毒啊,打开就闪退 Exeinfo PE也有github的地址:https://github.com/ExeinfoASL/ASL 谢谢楼主分享 感谢楼主 终于有人对这个软件下手了 哈哈c的咋也不懂就是感觉牛逼 终于有人对这个软件下手了 哈哈
最开始是免费在吾爱发布, 后面就收费了。 {:301_1008:} 希望把图片往吾爱传一份。。。。不然 有些图 可能看不到。。比如咱。。。囧 pjy612 发表于 2023-4-24 14:27
希望把图片往吾爱传一份。。。。不然 有些图 可能看不到。。比如咱。。。囧
已修改,感谢提醒{:1_893:} 刚好用上了,照着来一遍管用,给力。感谢大佬 谢谢楼主分享