吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 8613|回复: 33
收起左侧

[.NET逆向] .NET 某rdp工具 Dotfuscator混淆字符串还原

[复制链接]
loopg 发表于 2022-3-8 15:53
本帖最后由 loopg 于 2022-3-8 16:59 编辑

查壳

Dotfuscator,同时字符串被混淆了,见下图。
查壳.png
不脱直接dnspy.png

字符串还原

字符串还原应在de4dot之前,貌似de4dot也带还原字符串功能,这点未解,正常拖入字符串还原成了乱码,所以产生了现在手动还原的研究。
直接不处理字符串使用de4dot脱壳(字符串乱码):
脱壳后.png
Dotfuscator字符串还原能在dnspy里查到调用函数和传入参数(每个地方可能不一样,传入int不同,或调用的函数不同),如图。
字符串解密方法.png
所以我们要做的就是想办法根据函数头上定义的int变量(类似于字符串还原的偏移吧,且他有多个还原函数 通常为a b命名, 偏移不一致),拿出来还原函数,跟入还原函数:
字符串解密函数体.png
放入C# 测试(这里要注意Intptr类型无法互相使用加法运算,要先转int。 所以直接抄过来会报错。 有错则修复即可)。 如图
字符串解密复现.png

使用de4dot解密字符串

这里既然拿到字符串的加密函数,那么我们取出地址:0600002F  注意不是0x0600002F!
然后使用命令:

[Asm] 纯文本查看 复制代码
de4dot.exe E:\xxxx\xxxxx --strtyp delegate --strtok 0600002F

即可得出解密且脱壳后的程序

字符串还原后

字符串还原后

完结

完成,待下一步尝试!
希望有更简洁或者文章里有错误的地方大家可以交流,感谢。
软件名称等已打码。

免费评分

参与人数 6威望 +1 吾爱币 +26 热心值 +6 收起 理由
luoye2010 + 1 + 1 用心讨论,共获提升!
MissJz + 1 + 1 我很赞同!
lonely_coder + 1 + 1 用心讨论,共获提升!
Hmily + 1 + 20 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
zhanglei1371 + 2 + 1 用心讨论,共获提升!
彭于晏丶 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

浮夸丶 发表于 2022-3-10 01:09

lvbuqing 发表于 2022-3-9 17:25
gutter: true">de4dot.exe E:\xxxx\xxxxx --strtyp

最好说明一下xxxx是什么东西

xxx是指的程序路径,de4dot strtyp命令,在github上有说明
vipcrack 发表于 2022-3-8 21:33
学习了一个利用自身函数来解密字符串的方法,感谢!
lvbuqing 发表于 2022-3-8 16:27
 楼主| loopg 发表于 2022-3-8 17:00
lvbuqing 发表于 2022-3-8 16:27
大哥是用de4dot脱了一个壳子么

de4dot本身就能脱这个壳,只不过字符串需要处理一下
redapple2015 发表于 2022-3-8 17:16
大神的文章解决我一下问题,支持一下
彭于晏丶 发表于 2022-3-8 18:30
大佬666666
冷冷的风 发表于 2022-3-8 18:57
多谢分享,辛苦了
任逍遥 发表于 2022-3-8 20:03
这一窜神秘的代码是什么意思?
 楼主| loopg 发表于 2022-3-8 20:28
任逍遥 发表于 2022-3-8 20:03
这一窜神秘的代码是什么意思?

啥神秘代码
zhangsir95 发表于 2022-3-8 20:34
有些壳都脱不了的怎么搞,我有个就搞不懂是什么 壳,放弃了,大佬有没有兴趣挑战一下?
H102188 发表于 2022-3-8 20:37
萨达萨达撒大撒多撒多撒多撒多撒

免费评分

参与人数 1违规 +1 收起 理由
A-new + 1 请勿灌水,提高回帖质量是每位会员应尽的义务!

查看全部评分

您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-15 01:31

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表