[.NET]脱壳求助ConfuserEx+Eazfuscator.NET

i9420 · 发表于 2020-8-15 16:19

程序是一个.NET编写的小众游戏辅助.
我检测过是加了2重壳,最外面的是ConfuserEx.利用脱壳工具脱掉后检测还存在Eazfuscator.NET壳.这个时候拉进去de4net后会导致de4net卡住假死.用一些特殊的修改版不会卡死,但是也没脱掉(字符串还是混淆过的)..

请大神帮忙分析是咋什么情况.

附上程序文件:
https://share.weiyun.com/31rhJE1q
这个只是一个单文件.并非带所有DLL..

如果有需要完整文件的请留言.

感谢.

SoftCracker · 发表于 2020-8-15 16:19

我没说明白吗？I服了U！

当然，不止这一处，把所有地方都改掉就行（一共也就两三处）

SoftCracker · 发表于 2020-8-15 18:10

这是新版Eazfuscator.NET吗？感觉挺奇怪的。
另外，你这个文件是别人的破解版，并不是原版，你有原版文件吗？

i9420 · 发表于 2020-8-15 19:51

SoftCracker 发表于 2020-8-15 18:10
这是新版Eazfuscator.NET吗？感觉挺奇怪的。
另外，你这个文件是别人的破解版，并不是原版，你有原版文件 ...

原版文件是只有Eazfuscator.NET 的..可以直接de4net脱掉.那个我会.

是的.这个是别人破解的过的.我的想法就是想脱壳后研究下他的思路.

SoftCracker · 发表于 2020-8-15 20:22

把原版文件发来，我对照一下

i9420 · 发表于 2020-8-15 21:21

SoftCracker 发表于 2020-8-15 20:22
把原版文件发来，我对照一下

https://share.weiyun.com/Pv3xTF0F

这个是原版的.

SoftCracker · 发表于 2020-8-15 22:47

本帖最后由 SoftCracker 于 2020-8-15 22:49 编辑

de4dot脱壳失败应该是因为加了双层壳后，IL有所改变（虽然功能未变），导致特征匹配失败
Eazfuscator.NET的字符串反混淆逻辑很复杂，不好改，我也懒得看了
不过可以用动态字符串反混淆（--strtyp delegate ），不过需要首先patch掉GetCallingAssembly和StackTrace

i9420 · 发表于 2020-8-15 23:06

SoftCracker 发表于 2020-8-15 22:47
de4dot脱壳失败应该是因为加了双层壳后，IL有所改变（虽然功能未变），导致特征匹配失败
Eazfuscator.NET ...

[Asm] 纯文本查看 复制代码

不过需要首先patch掉GetCallingAssembly和StackTrace

请教下这里应该如何操作?

SoftCracker · 发表于 2020-8-15 23:10

GetCallingAssembly => GetExecutingAssembly
new StackTrace(2, false) => new StackTrace(0, false)

i9420 · 发表于 2020-8-15 23:14

SoftCracker 发表于 2020-8-15 23:10
GetCallingAssembly => GetExecutingAssembly
new StackTrace(2, false) => new StackTrace(0, false)

有点看不懂.是在dnspy里面修改?

帐号		自动登录	找回密码
密码			注册[Register]

[求助] [.NET]脱壳求助ConfuserEx+Eazfuscator.NET

最佳答案