dotnet魔改版ConfuserEX的CrackMe 求助
本帖最后由 damaoooo 于 2024-2-18 22:32 编辑最近收到了一个CrackMe,发现是魔改版本的ConfuserEx,使用Anti-Tamp-Kill 去除Anti-Tamp之后,通过调试,发现并没有koi文件,并且程序的混淆严重,字符串也存在加密,且存在控制流混淆。
随后发现一个作者自己写的Anti-Tamp,如下图所示
作者会计算程序的MD5,并于一个特定的md5比对,如果对不上,就弹窗警告,然后退出,这一部分我已经patch了。
最后就是程序的flag计算模块,我已经手动跟踪到了flag的计算逻辑,但是就是Button1_Click函数中初始向量array拿不到
dnSpy在调试过程中一直提示内部调试器错误,无法显示中间变量。
我也试过修改IL,使得初始向量通过弹窗直接弹出,但是弹出程序错误,特此来求助,我把原始的crackme以及使用ATK之后的crackMe附在链接处
链接: https://pan.baidu.com/s/1VKFZ5CtjzO420CSpNUihAQ?pwd=bxc7 提取码: bxc7
感激不尽
本帖最后由 SoftCracker 于 2024-2-25 02:06 编辑
感觉这个程序有问题,流程混淆有bug,在Dispose函数中,br指令在try块内外反复横跳,这是非法的
(https://pan.baidu.com/s/1NhHmdwHHmuSzfW9CjCIzAg?pwd=shr8) 提取码: shr8 damaoooo 发表于 2024-2-28 00:47
但是能跑,debug能跑,应该还有一层的SMC, 毕竟是魔改过后的ConfuserEX。
能跑是因为x86没那么严格,编译成x64或AnyCPU(禁用首选32位),加壳后运行就会报错
注意:由于只有Dispose函数有这个问题,所以只有当执行到Dispose才会出错,双击exe不会直接报错,等你关闭窗体时,才会报错 文件在哪? 虚幻魔王 发表于 2024-2-18 13:48
文件在哪?
已经主题中更新链接,等待审核通过
链接: https://pan.baidu.com/s/1VKFZ5CtjzO420CSpNUihAQ?pwd=bxc7 提取码: bxc7 自顶一个,也不知道如何加CB进行悬赏,可能会看的人更多 SoftCracker 发表于 2024-2-25 00:49
感觉这个程序有问题,流程混淆有bug,在Dispose函数中,br指令在try块内外反复横跳,这是非法的
(ht ...
但是能跑,debug能跑,应该还有一层的SMC, 毕竟是魔改过后的ConfuserEX。 damaoooo 发表于 2024-2-28 00:47
但是能跑,debug能跑,应该还有一层的SMC, 毕竟是魔改过后的ConfuserEX。
什么叫SMC? SoftCracker 发表于 2024-2-28 00:49
什么叫SMC?
Self Modifying Code, 我单步的时候也会飞到其他地方,我怀疑是还有一层pack过后的 SoftCracker 发表于 2024-2-25 00:49
感觉这个程序有问题,流程混淆有bug,在Dispose函数中,br指令在try块内外反复横跳,这是非法的
(ht ...
厉害,请问是怎么做的呢?
页:
[1]
2