求助,使用Exeinfo查软件,信息报错。
https://static.52pojie.cn/static/image/common/control_l.png求助,使用ExeinfoPE工具查软件,Linker Info 红色报警,显示为48,打开PE,对应的Number of Dirs也同样红色警报,数值为000FExeinfoPE工具下面提示为“MS Visual C# / Basic.NET- IntelliLockv.1.5-3.0 [ .NET Reactor 6.x - 6.9 ] ”壳
最初决定忽视ExeinfoPE的红色报警,直接按照简易信息尝试脱壳操作,使用了ReactorSlayer进行脱壳,提示“Couldn't FInd any equation to resolve”,脱壳失败
后尝试通过de4dot进行脱壳操作,Error提示为“Resolutionscope is null”,脱壳失败
按照论坛上的相关经验分享,可能是深思的壳,被误判成为了.Net的壳,最后尝试了一下使用dnSpy直接带着壳进行反编译,根据反编译代码看,应该是.Net程序无疑,部分乱码也证明有壳无疑。
想请前辈和大佬们帮忙确定一下,一是ExeinfoPE的LInker Info 48红色警报是什么意思,是不是因为这个红色警报直接导致了ExeinfoPE对壳的误判,最终脱壳失败,二是基于ReactorSlayer和de4dot都脱壳失败的情况,是不是可以怀疑壳识别的出错。
感恩各位大佬和前辈,后附ExeinfoPE报警信息,已模糊化软件名。
文件发来看看 SoftCracker 发表于 2024-6-8 21:10
文件发来看看
直接发软件是否违规啊,大佬,是私信发给您吗?主要是想知道目前出现的问题是什么问题 都行,可以上传到蓝奏云 SoftCracker 发表于 2024-6-8 21:20
都行,可以上传到蓝奏云
大佬,软件已私信您,感谢大佬帮忙排查问题 .NET Reactor 6.5
SoftCracker 发表于 2024-6-8 21:34
.NET Reactor 6.5
好的好的,感谢大佬,我试一下,我之前用的论坛爱盘里分享的6.4 SoftCracker 发表于 2024-6-8 21:34
.NET Reactor 6.5
大佬,从昨天您跟我说完是什么壳之后,我又尝试了一些方案。首先是我更新了最新的Die,确实直接查出来是.NetReactor6.5的壳了,然后尝试兼容版本更高的de4dot,不出意外的,还是报错,无法差判断类,然后slayer也一样无法脱壳,之后我在咱们论坛中找了一部分您之前回复的相关帖子,有一点是说如果加了代码虚拟化,直接通过de4dot或者slayer就无法进行脱壳了,需要采取其他方案。我后续通过Tuts4You论坛中,在CrackMe的板块中几位其他网友脱除6.5/6.9版本壳的分享,总结了一部分步骤,首先是先通过ExtremeDumper对该文件进行dump,消除本地的native layer,然后再对dump后的文件进行脱壳。我尝试了使用这种方案,即直接使用过ExtremeDumper对进程Dump,然后发现dump后的文件dll是被混淆的,目前重新陷入了僵局。请问方便咨询一下大佬,目前我的思路是否存在明显问题,即代码被虚拟化,应先解决native layer ,后进行脱壳操作,再就是,对于如何使用ExtremeDumper进行Dump及其常见问题,我目前没有找到比较完备的学习资料,请问大佬有关于这部分的学习资料推荐吗 1. 文件没有启用native layer,无须dump
2. 文件没有启用虚拟化,无须反虚拟化 SoftCracker 发表于 2024-6-9 21:58
1. 文件没有启用native layer,无须dump
2. 文件没有启用虚拟化,无须反虚拟化
好的好的,谢谢大佬,麻烦大佬了,我沿着您给指点的方向继续探索探索,非常感谢大佬
页:
[1]