这个看似无壳,但是什么也看不到,该如何判断?
本帖最后由 softmining 于 2024-8-17 08:53 编辑新手一个,处于兴趣想了解某游戏外挂逻辑。
用die和PEiD查看,显示无壳,但是有Packer。
用dotpeek打开之后看不到源代码。再次用die查看看到 .text 有加壳。信息熵里表明是GIP类型。
这个该如何解压缩才能看到源代码?
请大佬指点~!!!
die:
PEiD:
dotpeek:
不一定是.net的玩意,你要不开了之后看看有没有加载.net那些dll 试试脱壳机:https://www.52pojie.cn/forum.php?mod=viewthread&tid=1525444&highlight=.net%2Breactor
注意脱壳机可能会执行可执行文件进行脱壳,如果不确定是否危险建议在虚拟机下尝试。 爱飞的猫 发表于 2024-8-18 06:22
试试脱壳机:https://www.52pojie.cn/forum.php?mod=viewthread&tid=1525444&highlight=.net%2Breactor
...
谢谢大佬!
试着进行脱壳。脱壳的出了点错误。没能完全脱掉。
但是把主程序和dll分离出来了。
主程序基本上没法看,全是method_0() 这样的空方法。
dll可以看到一些代码,但是有很多看似escape的字符弄得乱糟糟。
类似下面这样的代码
Class5.\u003C\u003Ec.\u003C\u003E9, __methodptr(\u003CConnect\u003Eb__36_0)
'\u003C'=>‘<’, ‘\u003E’ => '>' 转换后 还是看不懂
Class5.<>c.<>9, __methodptr(<Connect>b__36_0)
继续努力学习~!
再次感谢大佬~~ 艾莉希雅 发表于 2024-8-19 04:14
不一定是.net的玩意,你要不开了之后看看有没有加载.net那些dll
源程序应该是.net相关。
附带的dll都是.net标准和第三方dll。 softmining 发表于 2024-8-20 20:08
谢谢大佬!
试着进行脱壳。脱壳的出了点错误。没能完全脱掉。
可以试试用 de4dot 强制重命名,把奇怪的名字都变成统一的 `xx_method` 这样。
具体用法可以翻翻论坛的帖子或看程序帮助。
不确定新壳是否有效。 softmining 发表于 2024-8-20 21:13
源程序应该是.net相关。
附带的dll都是.net标准和第三方dll。
哦,那就按.net的几板斧干上去试试 艾莉希雅 发表于 2024-8-20 21:57
哦,那就按.net的几板斧干上去试试
纯纯新手一个,请教一下.net的几板斧哪里可以学习。
{:1_893:}
页:
[1]