网站 › 『脱壳破解区』 › 【新手日记】.net逆向之反混淆.net reactor

Pojie1999.0909 发表于 2018-1-6 17:47

【新手日记】.net逆向之反混淆.net reactor

情景：
第一次搞.net逆向 虽然我是工具党 但我励志要像前辈们看齐！
我们需要和上级联网厂家进行接口对接，通过对方提供的webservice查询、上传和更新数据
在调试过程中对方不是很配合导致联网进度十分缓慢，故要拿到对方编译好配置到服务器iis上的网站
逆向一下看对方到底动了什么手脚   学习一下对方的源码


用到的工具：
peid、scanid、de4dot、dnspy、reflector


步骤1：拿到对方的程序
拿到对方的网站程序后要找到我们调用的是哪个动态库从而开始我们的反编译之旅
程序根目录中有一个webservice.asmx，写过.net程序的都知道我们要找的就是它
右键打开看他是用的哪个动态库
http://img.blog.csdn.net/20180106170705848?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvQ0dTX19fX19fXw==/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEasthttp://img.blog.csdn.net/20180106170725425?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvQ0dTX19fX19fXw==/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEasthttp://img.blog.csdn.net/20180106170744903?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvQ0dTX19fX19fXw==/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast


步骤2：查壳
使用peid载入我们找到的动态库，从下图我们可以看出该dll没有加壳，嗯，这下省去了很多麻烦事
http://img.blog.csdn.net/20180106170805515?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvQ0dTX19fX19fXw==/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast


步骤3：脱壳
略~因为他没有加壳~不过以后应该会记录给程序脱壳


步骤4：反混淆

先用scanid载入dll动态库，我们发现这是.net reactor类型的代码混淆

http://img.blog.csdn.net/20180106173346889?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvQ0dTX19fX19fXw==/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast



没有加壳的dll可以用dnspy加载反编译，但是几乎所有的字符串都是加密的，这样根本达不到我们的目的
使用de4dot-mod版反混淆工具（这个得说一下，github上作者最新的de4dot不管用，用命令行de4dot -v打印出的信息为“填充错误，巴拉巴拉~”）
运行cmd打开命令行切换到de4dot目录，使用命令 "de4dot "反混淆，成功后会在下生成一个新的dll
http://img.blog.csdn.net/20180106170839648?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvQ0dTX19fX19fXw==/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast


步骤5：反编译
使用dnspy打开我们刚刚用de4dot生成好的dll动态库，查看代码发现现在字符串是明文了，OK






http://img.blog.csdn.net/20180106171007495?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvQ0dTX19fX19fXw==/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast
后记

其实中间的过程很曲折，因为是新手才接触破解、逆向什么的不久，平时的时间很有限，除了工作还有其他许多琐碎的事情要做，虽然尽可能的把娱乐的时间用到学习，但还是不够。。周泰的那种还不够。。

搞这个dll用了一整天的时间，哦对了，有兴趣的同学可以去吾爱破解、看雪或者i春秋学习，我在吾爱注册了会员，不是会员会有很多限制，也不贵一顿饭的钱，用来学习和交流很值得

总之，我感觉收获很多，道阻且长。最后，想破解搞逆向，去吾爱破解论坛吧，我觉得ok，热狗的那种

Pojie1999.0909 发表于 2018-1-8 13:09

sajuuk1129 发表于 2018-1-6 23:40
de4dot-mod版这个版哪里搞。。52上只有3.1 （de4dot v3.1.41592.3405.rar）

拿好 链接: https://pan.baidu.com/s/1hr7Oe9m 密码: 4hba

snccwt 发表于 2018-1-6 19:04

支持一下，有心学习的人

sajuuk1129 发表于 2018-1-6 23:40

de4dot-mod版这个版哪里搞。。52上只有3.1 （de4dot v3.1.41592.3405.rar）{:1_904:}

堕落ぁ狼 发表于 2018-1-6 23:53

京东采集、、、

这种不配合的就得锤他

_pan 发表于 2018-1-7 09:28

支持楼主！！！

刘统宝 发表于 2018-1-7 09:58

NET软件遇到几个都没有壳，混淆比较厉害吧

lf1988103 发表于 2018-1-7 10:56

谢谢分享

HMRX123 发表于 2018-1-7 14:40

感谢楼主

白轩_ 发表于 2018-1-7 15:39

可啦啦啦三季度拉丝机

tchivs 发表于 2018-1-8 09:23

.net程序还是很好破解的

查看完整版本: 【新手日记】.net逆向之反混淆.net reactor