一次ConfuserEx修改版反混淆遇到的问题

罗萨

近日遇到了一个改写自ConfuserEx混淆的软件
该软件NETFramework版本4.7.2


可以看到程序的类名,方法等被保护的很好

该软件iat被加密,入口点被隐藏,_corexemain也搜不到.

该案例的元数据表(话说dnspy中下面表中的红色代表什么?)
尝试修改NoConfusrEx(脱壳软件)代码

发现  ModuleDefMD.MetaData.TablesStream.FileTable.Rows  改变量值获取不到为0,一般原版ConfuserEx壳此处为1,并且下面的ModuleNames值为"koi"
案例中未发现File表,下图是原版壳加的例子


现在不知该从何下手,请各位大佬指点一下@凉游浅笔深画眉 @wwh1004
软件需要别的东西才能启动,想学习一下脱壳的过程

https://luosa.lanzouj.com/idkhngjsfpi

罗萨

SoftCracker 发表于 2020-9-13 15:13
@wwh1004  这个不能叫差不多吧？mkaring的版本是所有开源ConfuserEx修改版中改动最大的，而且是唯一一个持 ...

原来是这样,我用dnspy将主程序脱出来之后,已经可以看到代码了,不过混淆还是没去掉,用de4dot处理的还是不干净,方法,字符串没有还原,还有swtich混淆

dump之后能看到代码

de4dot后
虽然可以直接修改代码了,不过基本上还是没还原出来

SoftCracker

@wwh1004  这个不能叫差不多吧？mkaring的版本是所有开源ConfuserEx修改版中改动最大的，而且是唯一一个持续更新的

@罗萨
> 根据这个软件作者所说,他在原版confuser上经过了修改
他应该就是那么随口一说，这是一个开源的深度修改版，并不是该软件的开发者自己随意弄的修改版
另外， 64位的.NET程序入口点本来就是0，因为这个数据已经不再使用了

vipcrack

导航啊，我也是玩D3的，ROSBOT有破解版没

wwh1004

公开的工具可以用的，只有CodeCracker的那一套，还有个cawk的ConfuserEx Unpacker。github上还有de4dot修改版，据说支持ConfuserEx原版脱壳，你去找找看

wwh1004

看样子就是原版的ConfuserEx，也没什么变化，参数的话应该开了x86编码模式

SoftCracker

@wwh1004 不是原版，是修改版

@罗萨 你说的那些特征都没有用，修改版可以任意改

罗萨

wwh1004 发表于 2020-9-12 20:28
看样子就是原版的ConfuserEx，也没什么变化，参数的话应该开了x86编码模式

感谢大佬的指点,根据这个软件作者所说,他在原版confuser上经过了修改,还有一个我想问的是,大部分情况下,.net脱壳入口点是必须要修复的吗,我看这个软件入口地址是0

罗萨

SoftCracker 发表于 2020-9-12 21:49
@wwh1004 不是原版，是修改版

@罗萨 你说的那些特征都没有用，修改版可以任意改

感谢大佬百忙之中的回复,请问该修改版与原版相比,有哪些地方需要我学习,另外我想学习这个软件的脱壳的话要从哪里开始入手呢,现在我就是不知道该从哪里开始,缺少一个流程上的思路

wwh1004

https://github.com/mkaring/ConfuserEx 和原版差不多