dotnet逆向dll,反混淆后不知道如何入手，求助大神给点思路

renrenduxing · 发表于 2023-4-8 16:00

破解的dll：HTMLEditor.dll
主要实现的结果：该dll使用后，等待几秒钟会弹出激活窗口，主要去除这个弹窗让其不在弹出。
查壳结果：
MS Visual C# / Basic.NET - DLL - IntelliLock v.1.5-3.0 [ .NET Reactor 6.x - 6.9 ] - www.eziriz.com ,
Overlay : Signed
经过测试，该dll版本为.net非.net framwork
微信图片_20230408154620.png

使用反混淆工具：
NETReactorSlayer 6.4 2022
但是乱码还是比较多
根据过了几秒才弹出激活窗口的特性，推测是timer进行
于是用dnSpy搜索，但是发现没关联，同时通过断点，也没有进入该timer_0_Tick方法

请问还有什么办法可以找到这个弹窗的地方
附件说明：
需要破解的在压缩包内，命名为：HTMLEditor原dll
压缩包外的HTMLEditor.dll是使用NETReactorSlayer 6.4 2022反混淆之后的
弹窗具体信息可以参考附件中的图片1
感谢大佬支招
压缩包下载：https://wwi.lanzoup.com/iox2C0sf3bpi

3yu3 · 发表于 2023-4-11 12:00

本帖最后由 3yu3 于 2023-4-11 16:22 编辑

在MouseDown事件激活的这个方法中进行注册验证，验证不通过会弹出注册窗口，具体看图，

QQ截图20230411114503.png

RSA签名验证，一般就爆破了事。
QQ截图20230411115038.png

图中画圈的地方是爆破点。也可以找到相关位置后16进制编辑修改可一字节爆破，对原文件改动最小，避免反混淆及编译修改造成出错。。。
QQ截图20230411115101.png

注册码部分规则参考，爆破无需考虑。
QQ截图20230411115138.png

pjy612 · 发表于 2023-4-11 20:23

本帖最后由 pjy612 于 2023-4-11 20:29 编辑

类库在 Nuget 上叫 Zoople.HTMLEditor

[Asm] 纯文本查看 复制代码

LicenceKey= KPH3784-100107-9100
LicenceKeyInlineSpelling= AMB3784-100107-9100F58A

LicenceActivationKey= sign(LicenceKey) + base64(ascii("Environment.MachineName.ToString() + "|" + Environment.UserName"))

RSA 拿 harmony 处理下就行了。。。
公钥 Module

[Asm] 纯文本查看 复制代码

xp1wLCz1Sd6IGOlZI/joEI/Bs7G2K6D63+5NLeCsweindmA4jhTc+TZ0OvBJVbKoACIjr82J9rcY12XwNIQuFlAzRQsrNk1FU4sw+sMyCjmgJqsvA6KfDHrkAec5ul5zBsdSfENhQZCJ6fydgb5q6zXG1aNGWI5VgMa7h8YVVXk=

pjy612 · 发表于 2023-4-11 18:09

既然是库，为何不直接试试 harmony ？或者如果特征明显直接反射赋值？

pjy612 · 发表于 2023-4-11 20:16

本帖最后由 pjy612 于 2023-4-11 20:27 编辑

3yu3 发表于 2023-4-11 12:00
在MouseDown事件激活的这个方法中进行注册验证，验证不通过会弹出注册窗口，具体看图，

哇大佬脱的好干净。。。变量名都还原了。。。

咱刚处理完。。。
话说大佬不考虑来个教程？

emmm 不会是大佬你为了方便分析在 dnspy 里面手动改了方法名吧？？？

好像发现了一个好招式。。。反正拿来看的。。。

3yu3 · 发表于 2023-4-11 20:48

pjy612 发表于 2023-4-11 20:16
哇大佬脱的好干净。。。变量名都还原了。。。

咱刚处理完。。。

被你发现了，是手动修改的，经常被绕来绕去找不到北。大佬的harmony及反射方法用的炉火纯青，想向你学习下了。

pjy612 · 发表于 2023-4-11 21:00

本帖最后由 pjy612 于 2023-4-11 21:03 编辑

3yu3 发表于 2023-4-11 20:48
被你发现了，是手动修改的，经常被绕来绕去找不到北。大佬的harmony及反射方法用的炉火纯青，想向你学习 ...

因为之前一直懒得动DLL 没想过直接去改他。。。
现在想想，反正是拿来看和分析的。。。随便改又不用。。。定位到关键点就行了。。。

感谢大佬又学了一招。。。

至于 harmony 。。。拿 BepInEx 写几个 U3D游戏的Mod 基本就会了。。。
可以简单理解成 harmony 是个动态代{过}{滤}理库或 AOP 库。可以对第三方的dll 进行切面处理。
这样就很好用了。。。至少比改 IL 清楚直观很多。

3yu3 · 发表于 2023-4-12 18:28

pjy612 发表于 2023-4-11 21:00
因为之前一直懒得动DLL 没想过直接去改他。。。
现在想想，反正是拿来看和分析的。。。随 ...

感谢大佬指点。

不懂之处到时还得向你请教

renrenduxing · 发表于 2023-4-14 14:33

pjy612 发表于 2023-4-11 20:23
类库在 Nuget 上叫 Zoople.HTMLEditor
[mw_shl_code=asm,true]
LicenceKey= KPH3784-100107-9100

请问下，harmony是啥软件，因为我是小白，刚开始破解点，这个我尝试，但是仅仅是不弹窗，后面会不会出错也不清楚，
你这个是直接就弄出了序列号，拿去填写就可以？

renrenduxing · 发表于 2023-4-14 14:41

3yu3 发表于 2023-4-11 12:00
在MouseDown事件激活的这个方法中进行注册验证，验证不通过会弹出注册窗口，具体看图，

感激大佬给的思路，我这边尝试下

帐号		自动登录	找回密码
密码			注册[Register]

[新手问题] dotnet逆向dll,反混淆后不知道如何入手，求助大神给点思路