.Net Reactor 5脱壳
今天别人发来一个.Net的DLL让我脱壳,第一步自然是先扔进de4dot我这个de4dot 是集成了Ivancito0z / TheProxy / PC-RET 4.9mod / wuhensoft(5.0) 各大神修改的版本,无法脱壳,肯定就是新的reactor 5加的壳了。
我们加上 -v 参数显示错误
在解密资源的时候出错了,我们打开de4dot的源码,找到报错的位置
懒的分析原因,直接注释掉,编译de4dot 后重新进行脱壳。
成功脱壳,打开看看
发现字符串未被正确解密。
我们再次解密:命令行 de4dot SixTow-cleaned.dll --strtyp delegate --strtok 0x060001BA -v
解密后发现字符串依然未解密,我们再回头看解密函数
))]
internal static string smethod_10(int int_5)
{
if (Class8.byte_1.Length == 0)
{
BinaryReader binaryReader = new BinaryReader(Class8.assembly_0.GetManifestResourceStream("pF5NG7nGmlpjNJS2XA.xvDeEZ4QpSKik8SYCO"));
binaryReader.BaseStream.Position = 0L;
byte[] array = binaryReader.ReadBytes((int)binaryReader.BaseStream.Length);
binaryReader.Close();
byte[] array2 = new byte;
array2 = 177;
array2 = 136;
array2 = 181;
array2 = 96;
array2 = 150;
解密是通过资源pF5NG7nGmlpjNJS2XA.xvDeEZ4QpSKik8SYCO 解密出来的,但是pF5NG7nGmlpjNJS2XA.xvDeEZ4QpSKik8SYCO在de4dot脱壳的时候清理了。
好吧,我们从原程序中将 pF5NG7nGmlpjNJS2XA.xvDeEZ4QpSKik8SYCO 提取出来,并加入 脱壳后的文件(如图)。
再次使用
de4dot SixTow-cleaned.dll --strtyp delegate --strtok 0x060001BA -v
进行解密
发现成功解密。脱壳完成(部分混淆是其它DLL中的,不在此文讨论范围)
练手附件:
欢迎指正。
2217936322 发表于 2017-8-21 00:08
这个很简单吧、、、MOD版本才有意思
补充一下 强脱灰飞烟灭 撸Reactor 混淆算法才是王道 学习了,感谢分享经验 另外楼主可否把你这个De4dot分享一个?不胜感激 感谢分享 感谢分享 de4dot 不丢上来怎么练啊· Gs兄,能否分享一下你的dot4,,,我这也有个reactor壳 不错,赞一个。
这样无法根本,解决问题。
虽然思路不错