求助大神！DLL插件脱壳显示通过，不明白进OD显示好像没有脱掉，另求助插件DLL怎样调试

Jerry5180

各位大神们：
         本人还是一名学习破解不久的菜鸟，遇到了一些问题还请大神们多多指教！这其中可能有一些概念性的东西没有搞懂，如有错误，还请及时指正，谢谢！
         最近在破解一款用在大型软件中的插件，看了很多论坛帖子，也试图理解了一些破解知识，但是有些问题还是一知半解，在此特拜请大神们多多指点！
         需要解决的问题是，这个DLL在运行时显示“许可已过期，请申请新的许可”然后跳出机器码，返回注册码激活的界面。现在想跳过注册过程，直接使用。
         我破解的第一步是查看此DLL的信息，使用了最新版ExeinfoPe die dotNET ID 进行了查壳，结果如图：

Exeinfo PE查壳结果

die查壳结果

dotnetid查壳1

dotnetid查壳2

ExeinfoPE好像显示有.NET的壳，（显示C#语言编写，还能看到.NET是2.0版本，但是不知道此信息可不可靠）dotNET ID好像显示没有壳，尝试用de4dot进行反混淆处理，结果没有报错，结果如图：

de4dot脱壳处理

再次用ExeinfoPE查结果如下：

脱壳后exeinfope查壳结果

对比两次查壳，入口地址变了，文件大小变了，脱壳后信息中多了【Obfus/Crypted】描述，但是不太明白什么意思，也不知道现在是否已经成功脱壳。。。？
将脱壳后文件载入OD中显示“代码段可能被压缩、加密或包含大量嵌入数据”，此时心里有点慌，这壳到底是脱了没有，还是说这个文件到底有没有壳。。。？？？？？？？？？
先不管了，载入到NET Reflector v8.0中，能正常载入，且能正常导出代码如图：

net reflector载入

也能将工程载入vs2010中，如图：

vs2010载入

但是好像代码不全。。。再次载入OD，显示代码段可能被压缩时选择继续，首先看到的是一堆无用数据

OD1

接着往下拉，看到了一堆ascii的东西，不知道是不是H大神所说的易语言写的，，，？如图

OD2

接着往下拉，总算看到了一些觉得有用的东西，，如图：

OD3

          但是，接下来，，，就是我想问的下一个问题了：
          由于这是一个DLL文件，是依附在一个大型软件中运行的动态链接库，它不能直接执行，这样的话我怎样调试呢，怎样让他运行呢？是运行大型软件时在内存中获取？这段程序在内存中的什么地址呢？小              白不懂，还请大神多多指教。
          综上：本人有这几个问题需要指导
          1、此文件到底有没有壳，如果有是net的壳码？如果没壳经过de4dot后是否已经成功反混淆？
          2、此DLL用NET REFLECTOR 反出来的到底是不是原版？
          3、这种DLL插件怎样去调试运行呢？用OD是否可以载入这个DLL
          4、载入OD显示“代码段可能被压缩、加密或包含大量嵌入数据”是什么原因造成的呢？选择继续再分析是否已经没有意义。。？


         源文件链接：链接: https://pan.baidu.com/s/1R4C9k_aijxrrC3iW4wlxWQ     提取码: 9fif

byh3025

首先，NET不是壳，另外，这个要用dnspy来调试

Jerry5180

byh3025 发表于 2020-9-18 16:03
首先，NET不是壳，另外，这个要用dnspy来调试

谢谢您的回答！我是初学破解，而且专业还是自动化，对计算机的知识概念掌握的不是很准确，还请谅解，，那要说NET是这个程序的架构或者环境这样说对吗？还有就是不知道根据您的判断，这个DLL有没有壳呢？如果有，正确的破壳方法是什么呢？还有就是这个de4dot操作还有意义吗？还是破壳之后再de4dot？还请指教！，刚才用dnspy载入了一下，能载入但是好像看不到什么源码，这个软件用的还不是很熟，我会继续学习。。。问题：根据您的判断，这个DLL有没有壳呢？如果有，正确的破壳方法是什么呢？还有就是这个de4dot操作还有意义吗？还是破壳之后再de4dot？还请指教！

byh3025

de4dot是反混淆的，如果这个dll有混淆，那就是必要的

byh3025

Unknown Obfuscator未知混淆器，这个de4dot应该是无能为力的

byh3025

Jerry5180 发表于 2020-9-18 16:26
谢谢您的回答！我是初学破解，而且专业还是自动化，对计算机的知识概念掌握的不是很准确，还请谅解，{:1_ ...

是能看到源码的呀