吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 3716|回复: 21
收起左侧

[原创] “c# CrackMe 大佬来练练手!!! ”的简单脱壳过程

  [复制链接]
csjwaman 发表于 2022-6-17 14:43
本帖最后由 csjwaman 于 2022-6-18 07:52 编辑

看到论坛上这个CrackMe,有的大佬分分秒秒就搞定了。

但除了jy04468108大大,其他人基本上没说具体的脱壳方法。

本人是NET脱壳的小白,花了几个小时总算也搞定了,将过程简单记录下,供和我一样的小白参考。

目标文件在:https://www.52pojie.cn/thread-1649380-1-1.html

脱壳过程:

将x64dbg设置成系统断点:

图片1.png

然后载入CrackMe.exe
下断:VirtualProtect  用条件断点:RDX==0x6600

图片2.png

当RDX为0x6600时(koi模块的大小),后面就对koi模块的代码进行解密了。

图片3.png

断下后取消条件断点,改为普通断点,F9一次,断在:

图片4.png

此时,RCX==0x1BC45550178(基址可能不一样,但后面的0x178不会变)
接下去就要对文件头相关项进行擦除了。在文件头被擦除前保存模块。
在RCX上右键——》在内存布局中转到

图片5.png

在内存布局中,在地址0x1BC45550000上右键——》将内存转存到文件
保存为koi.exe

图片6.png

保存出来的文件是不能直接运行的。用dnSpy.exe查看一下
此时,代码还是混淆的:

图片7.png

用de4dot.exe去混淆后:

图片8.png

然后用ildasm.exe反编译,再修改IL文件,将所有与Confuser相关的代码全部删除,
重新编译成EXE文件,即可。重新编译后的文件只有8K大小。



koi_Output.rar

3.69 KB, 下载次数: 7, 下载积分: 吾爱币 -1 CB

免费评分

参与人数 9威望 +1 吾爱币 +28 热心值 +9 收起 理由
Hmily + 1 + 20 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
千叶壹竹 + 1 谢谢@Thanks!
SSBB007 + 1 热心回复!
wxxbc + 1 + 1 热心回复!
weikun444 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
jy04468108 + 1 + 1 谢谢@Thanks!
阿斯顿2 + 1 + 1 热心回复!
tingwei3 + 1 + 1 看了不会操作,楼主能否录个视频,我学习一下,谢谢
610100 + 3 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| csjwaman 发表于 2022-6-17 20:17
jy04468108 发表于 2022-6-17 20:13
不要乱说,我不是大大。。。不过你用x64dbg来脱.net壳,还是有创意。有空试试我前几天发的壳。

只有你说了脱壳方法,所以你是大大
 楼主| csjwaman 发表于 2022-6-18 17:54
jy04468108 发表于 2022-6-18 14:56
昨晚用你的方法复现成功了,请教下,你是如何知道当RDX=0x6600的时候这个6600是koi的大小,还有f9到下一次 ...

当RDX=0x6600的时候,我查看了该区段起始地址处,明显是一个PE头,所以猜测就是KOI了。F9到下一次断下时,RCX的值为PE头相关项位置,跟踪几步就可以发现相关项位置的数据被清零了。
Hmily 发表于 2022-6-17 16:05
最好贴一些分析的图片插入正文,这样文章看起来丰满一些。
 楼主| csjwaman 发表于 2022-6-17 16:37
Hmily 发表于 2022-6-17 16:05
最好贴一些分析的图片插入正文,这样文章看起来丰满一些。

不会编辑,插不了图片

点评

看这里:https://www.52pojie.cn/misc.php?mod=faq&action=faq&id=29&messageid=36  详情 回复 发表于 2022-6-17 17:40
hehaohw 发表于 2022-6-17 16:48
这个壳里面含有打包的DLL如何脱出来?
Hmily 发表于 2022-6-17 17:40
csjwaman 发表于 2022-6-17 16:37
不会编辑,插不了图片

看这里:https://www.52pojie.cn/misc.php? ... &id=29&messageid=36

帖子下方就有编辑按钮,找不到就在浏览器里安ctrl+F搜索。
 楼主| csjwaman 发表于 2022-6-17 20:12
Hmily 发表于 2022-6-17 17:40
看这里:https://www.52pojie.cn/misc.php? ... &id=29&messageid=36

帖子下方就有编辑按钮,找不到就 ...

好的,下次发时注意。

点评

不用下次,现在就可以操作。  详情 回复 发表于 2022-6-17 23:44
 楼主| csjwaman 发表于 2022-6-17 20:13
hehaohw 发表于 2022-6-17 16:48
这个壳里面含有打包的DLL如何脱出来?

没有试过。有目标软件吗?
jy04468108 发表于 2022-6-17 20:13
不要乱说,我不是大大。。。不过你用x64dbg来脱.net壳,还是有创意。有空试试我前几天发的壳。
Hmily 发表于 2022-6-17 23:44
csjwaman 发表于 2022-6-17 20:12
好的,下次发时注意。

不用下次,现在就可以操作。
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-24 10:46

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表