吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 10581|回复: 31
收起左侧

[.NET逆向] 反混淆ConfuserEX的compressor

[复制链接]
FatPigs 发表于 2021-2-16 23:59
本帖最后由 FatPigs 于 2021-2-17 09:54 编辑

今天遇到个.net程序,混淆了,直接拖de4dot解不出来,用die查出是ConfuserEX混淆的,于是到论坛搜寻反混淆ConfuserEX的方法。
找到了ConfuserEx脱壳工具打包 - 『逆向资源区』 - 吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn这个帖子,下载里面的工具后第一步就出问题了。
跳过第一步又是各种报错。心想这条路肯定是走不通了。
于是去外网碰碰运气,在苦苦搜寻下,找到了个视频教程[Unpacking: ConfuserEx - Compressor - YouTube],里面混淆后的代码后这个很相似。
心想遇到宝了,按照视频里面的方法,果然就反混淆成功了。

但是dump出来的程序无法运行,这个其实只要去dnspy调试运行一下就能发现问题出在哪里。dump出来的程序入口点没有指定,在dnspy里重新指定一下入口点就好了。

具体方法如下:

1:用Dnspy加载程序,转到入口点,搜索.free的语句并下断点,调试运行到断点,在下面的[模块]窗体内把koi保存为exe文件,这个就是去除混淆后的程序了。
2:用Dnspy加载koi,右键编辑模块,入口点选择托管,然后选择程序的主方法。确定保存即可。


但是,如果程序有配套的dll就仍然无法运行或功能缺失。
如果这个dll是开源类库的话按照报错去网上找,如果是作者自己写的就只能按照调用的方法逆向还原了。

混淆的程序的资源内有一个乱码文件,可能跟dll有关。

程序样本.zip

319.32 KB, 下载次数: 175, 下载积分: 吾爱币 -1 CB

免费评分

参与人数 4吾爱币 +10 热心值 +3 收起 理由
Hmily + 7 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
hjhj525 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
zj_tj + 1 + 1 热心回复!
为之奈何? + 1 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

smarzh 发表于 2021-2-17 09:09
不知道你这个程序是不是修改版的confuser修改的,我有个程序KOI入口点是能找到也修复了,配套的dll不好生成。程序在第二部call变nop后还能运行,就是功能已经有出错了。还没找打这个混淆比较好的步骤。
lifz888 发表于 2021-2-18 08:13
不苦小和尚 发表于 2021-2-17 06:05
zhanglei1371 发表于 2021-2-17 10:30
LZ有没有.net Reactor6的去混淆工具?分享下
km7687547 发表于 2021-2-17 11:15
感谢分享
ps122 发表于 2021-2-17 16:14
smarzh 发表于 2021-2-17 09:09
不知道你这个程序是不是修改版的confuser修改的,我有个程序KOI入口点是能找到也修复了,配套的dll不好生成 ...

程序能运行相关的dll也能导出来吧
Suppose 发表于 2021-2-17 22:49
So Easy  

cleaned.zip

281.07 KB, 下载次数: 79, 下载积分: 吾爱币 -1 CB

lifz888 发表于 2021-2-19 14:37
非常好的学习资料,支持分享
xqw826 发表于 2021-2-23 13:28
下载学习一下
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-23 02:54

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表