自己修改的de4dot专克MaxtoCode
大牛们好!玩.NET逆向的都知道de4dot是什么东东吧。鄙人不才,在de4dot官方源码的基础上潜心研发,终于做出了自己的修改版。(感谢原作者0xd4d)
这个修改版最大的特点,就是增加了对MaxtoCode 3.80-3.87版的支持。已经可以还原字符串和资源,并且可以反混淆除WinForm之外的控制流。怎么样,是不是很好很强大呢?考虑加入到您的工具箱中吗?
原版的de4dot虽然好,但是对于新版的MaxtoCode支持不足。再次说明了,国外的月亮虽然圆,但还是要我们中国人自己动手,才能丰衣足食。
下载:
源码:https://github.com/Tianjiao/de4dot
温馨提示:源码托管于美国GitHub服务器。
小窍门:如果在使用de4dot的过程中碰到如下错误,只需连续按“忽略”按钮15次,或者在命令行中使用"--dont-rename"选项。
通知:从MaxtoCode的3.87版以来,似乎MC在每次执行加密的过程中都会更换McKey8C0h密钥。这些密钥都是正确的,只不过每个样本都不同。
因此任何已编译的版本对新版MC都是无效的。我已经开放了密钥的计算源码,用户只能先从Logger.vv()方法中读取样本的密钥,把该密钥写回源码,再重新编译。
如果您对我针对MaxtoCode的de4dot修改版感兴趣的话,您可以关注我在GitHub上的项目更新。网址:https://github.com/Tianjiao/de4dot 国际版和中国版有什么区别?国际版是不是就是一个多用户版?
对多个样本测试发现并没有用,方法全是空的,入口部分代码本来就有{:1_926:} 如果又时间,感兴趣可以用dnSpy打开看看 本帖最后由 wgh1256 于 2018-11-2 13:17 编辑
可以再检查下依赖项上有没有感叹号吗?
看样子是依赖项的问题。这些错误信息都是因为缺少依赖项{:1_924:}
因为直接复制子模块到文件夹里的话,VS2017是不会自动帮你添加子模块的。
直接克隆项目是最简单有效的方法,一键解决。
感谢大佬分享 我更需要的是支持.Net Reactor 和 DNguard 的,不过这个也很不错省时省力 感谢大佬。, 本帖最后由 3yu3 于 2018-10-25 22:42 编辑
能搞MAXTOCODE,牛X了。。
不知为啥,我试了两个软件都没成功。
3yu3 发表于 2018-10-25 21:59
能搞MAXTOCODE,牛X了。。
不知为啥,我试了两个软件都没成功。
你好,你可以确定这两个软件使用的MaxtoCode是哪个版本的吗?
你可以在命令行下使用 "-vv"参数,然后把输出导到日志文件。
在日志文件里,你可以看到一些Key和版本信息。
麻烦你把这些信息发布到论坛上,方便我改进这个修改版。
谢谢!
感谢大佬分享,这个挺省时的。 wgh1256 发表于 2018-10-25 23:01
你好,你可以确定这两个软件使用的MaxtoCode是哪个版本的吗?
你可以在命令行下使用 "-vv"参数,然后把 ...
大牛看一下。{:1_893:}
3yu3 发表于 2018-10-26 08:00
大牛看一下。
从你提供的情况看,很可能使用了2种混淆器。
也就是在MaxtoCode的外面还先加了1层壳。
根据信息,还有一种可能就是你拖入de4dot的目标软件已经被PE工具处理过了。
而我所提供的修改版,是针对第一层壳是MaxtoCode的。
你可以在第一层壳是MaxtoCode的被混淆软件上再试一下。 wgh1256 发表于 2018-10-26 08:45
从你提供的情况看,很可能使用了2种混淆器。
也就是在MaxtoCode的外面还先加了1层壳。
根据信息,还有 ...
谢谢大佬回复。是的,外面一层壳是DF,先脱掉了,再脱里边的MC就报错了。这样的加壳方式也挺常见的,对于.NET工具党真不知道如何处理。:lol 大佬,用了你的工具,试了试这个https://www.52pojie.cn/thread-649369-1-1.html,发现没啥效果{:1_918:}