Safengine Shielden for .net unpackme 工具党脱壳详解
本帖最后由 brezeer 于 2015-11-22 13:33 编辑技术大牛们为什么每次搞完一个unpack或者crack me就直接丢结果,说好的分析步骤呢?藏着掖着也没啥意思吧,何况脱Safengine Shielden for .net 只有一颗星的难度。会者不难,难着不会,软件的精神莫过于分享,为难我等小菜如何带领我们进步?
http://www.52pojie.cn/thread-336758-1-1.html
画眉大侠的【.NET】UnPackMe,用Safengine Shielden加的壳
脱壳目的如下:
1.程序脱壳(难度:★)
2.能看到源码(难度:★)
3.能正常运行(难度:★★★★)
脱壳详解 - 无脑工具党就行了。注意:以下方法,可以治愈大部分整体加密的DOTNET壳。不仅限于本文程序。
1. 运行程序,用Task Explorer直接在内存中抓,如下图所示dump PE
2.用CFF打开dump后程序, 发现元数据还是没有列出来,因此直接用Universal Fixer 仅修复 Fix .NET Metadata就好了。如下图所示:
3.修复好后,无法运行。但是可以看到源码了。拿出微软自己的ILDASM 和ILASM反编译后再编译回去就可以了。
脱壳前大小762K,脱壳后大小24K
工具列表
Taks Explorer 和 CFF 下载地址:http://www.ntcore.com/exsuite.php
Universal Fixer 下载地址:http://www.52pojie.cn/thread-82492-1-1.html
ILDASM/ILASM 微软VS2010以上版本自带 DOTNET4.0的反编译/编译工具。
谢谢分享,对于壳.net只能靠工具了。 你这个是脱.net的嘛! 多谢分享,周末愉快!:lol 原来是.net程序,吓俺一跳 受教了,谢谢楼主精彩的文章 哇,这个可以有的说,学习了 真真的吓我一跳,还以为是秒SE的~ 我以为是秒se! 感谢分享,进来学习!
页:
[1]
2