本帖最后由 csjwaman 于 2022-6-18 07:52 编辑
看到论坛上这个CrackMe,有的大佬分分秒秒就搞定了。
但除了jy04468108大大,其他人基本上没说具体的脱壳方法。
本人是NET脱壳的小白,花了几个小时总算也搞定了,将过程简单记录下,供和我一样的小白参考。
目标文件在:https://www.52pojie.cn/thread-1649380-1-1.html
脱壳过程:
将x64dbg设置成系统断点:
然后载入CrackMe.exe
下断:VirtualProtect 用条件断点:RDX==0x6600
当RDX为0x6600时(koi模块的大小),后面就对koi模块的代码进行解密了。
断下后取消条件断点,改为普通断点,F9一次,断在:
此时,RCX==0x1BC45550178(基址可能不一样,但后面的0x178不会变)
接下去就要对文件头相关项进行擦除了。在文件头被擦除前保存模块。
在RCX上右键——》在内存布局中转到
在内存布局中,在地址0x1BC45550000上右键——》将内存转存到文件
保存为koi.exe
保存出来的文件是不能直接运行的。用dnSpy.exe查看一下
此时,代码还是混淆的:
用de4dot.exe去混淆后:
然后用ildasm.exe反编译,再修改IL文件,将所有与Confuser相关的代码全部删除,
重新编译成EXE文件,即可。重新编译后的文件只有8K大小。
|