StringDecryptor v2.6.1.0 by Wwh / NCK
本帖最后由 wwh1004 于 2018-8-7 11:21 编辑这是我写的一个通杀几乎所有返回值为string的字符串加密的解密工具
使用方式如下:
比如这个UnpackMe https://www.52pojie.cn/thread-351216-1-1.html
先用BoxedAppUnpacker( https://github.com/MindSystemm/BoxedAppUnpacked )解包出.NET程序集
dnSpy反编译可以知道这是个.NET 4.0 x86的程序集
找到字符串解密方法,把Token 0x06000003记下来
Shift + 右键,点击在此处打开命令行
因为这是个.NET 4.0 x86的程序集,我们先输入Tool.Loader.CLR40.x86.exe,
再输入解密工具StringDecryptor.dll
然后输入要解密的程序集UnpackMe hard-Unpacked.exe
接着输入参数
如果需要记录并修复,那就在这里输入Fix 0x06000003
如果需要记录但不修复(有时修复会出问题),那就在这里输入Log 0x06000003
这种简单的UnpackMe,这个工具一般都可以修复,所以我输入了Fix 0x06000003,最后回车
如果不出意外,会启动要解密的程序集,我们点一下中间的按钮,让字符串解密器解密出字符串,这样我们才可以得到解密出的字符串
关闭弹出的窗口,不出意外会出现
用dnSpy查看解密好的程序集(混淆太严重,一般要在最后解密字符串,这里只是演示下工具的强大)
查看Log
已经更新了一个例子,看不懂的可以看里面的例子Test.sd_fix.hard.bat
本帖最后由 非凡公子 于 2018-8-19 19:45 编辑
大佬这算字符串混淆没有解开么 @wwh1004
另外我想咨询下大佬 用dedot4 脱壳显示
Cleaning C:\Users\Administrator\Desktop\Desktop\test.exe
WARNING: Could not find all arguments to method System.String VyJgdDHs1jHBPA6bWdM.glKNJXHecEdXhKrukLW::H5TndgYIu4(System.Int32) (060012AE), instr: IL_0005: ldarg
Renaming all obfuscated symbols
Saving C:\Users\Administrator\Desktop\Desktop\test-cleaned.exe
Ignored 88 warnings/errors
Use -v/-vv option or set environment variable SHOWALLMESSAGES=1 to see all messages
dedot4脱壳报错是不是造成 上图的主要原因..谢谢大佬...麻烦了..我需要怎么解决这个问题...程序是vb.net写的..反编译 我是用C#看的代码...上图那个是正常函数内容.还是混淆没有处理干净用dedot4...如果是没处理干净我应该怎么做.求大佬支援,助攻一波..再次感谢大佬.. boyving 发表于 2018-8-9 08:45
真的不是很懂,比如说BoxedAppUnpacker软件,我下载了,然后把那个exe拖进去,但是显示错误,我都怀疑我 ...
那就是那个unpacker有问题了,自己脱壳就行了,cff打开Unpackme hard.exe,找到.bxpck节,右键dump section,winhex打开dump的文件,找到第一个ASCII字符串MZ,这之前的都删掉 不是很懂,但是我这里有一个Plist文件,是文本文件,但是混淆了里面的所有代码,是一堆<string>的代码,楼主能用你的办法破译吗? 谢谢分享,好像没有下载连接?
工具再好,你不放地址有什么用 兄弟,忘记编辑地址了。。。 无痕软件 发表于 2018-8-7 08:53
兄弟,忘记编辑地址了。。。
好像是。。。论坛排版太难弄了,一不小心就把之前写的删了
谢谢分享 谢谢分享 wwh1004 发表于 2018-8-7 09:02
好像是。。。论坛排版太难弄了,一不小心就把之前写的删了
{:1_896:}试试用markdown写?