这个看似无壳，但是什么也看不到，该如何判断？

softmining

新手一个，处于兴趣想了解某游戏外挂逻辑。
用die和PEiD查看，显示无壳，但是有Packer。
用dotpeek打开之后看不到源代码。再次用die查看看到 .text 有加壳。信息熵里表明是GIP类型。
这个该如何解压缩才能看到源代码？

请大佬指点~！！！

die：

die

PEiD：




dotpeek：

艾莉希雅

不一定是.net的玩意，你要不开了之后看看有没有加载.net那些dll

爱飞的猫

试试脱壳机：https://www.52pojie.cn/forum.php ... ight=.net%2Breactor

注意脱壳机可能会执行可执行文件进行脱壳，如果不确定是否危险建议在虚拟机下尝试。

softmining

爱飞的猫 发表于 2024-8-18 06:22
试试脱壳机：https://www.52pojie.cn/forum.php?mod=viewthread&tid=1525444&highlight=.net%2Breactor

...

谢谢大佬！

试着进行脱壳。脱壳的出了点错误。没能完全脱掉。
但是把主程序和dll分离出来了。

主程序基本上没法看，全是method_0() 这样的空方法。
dll可以看到一些代码，但是有很多看似escape的字符弄得乱糟糟。
类似下面这样的代码
Class5.\u003C\u003Ec.\u003C\u003E9, __methodptr(\u003CConnect\u003Eb__36_0)
'\u003C'=>‘<’, ‘\u003E’ => '>' 转换后 还是看不懂
Class5.<>c.<>9, __methodptr(<Connect>b__36_0)

继续努力学习~!

再次感谢大佬~~

softmining

艾莉希雅 发表于 2024-8-19 04:14
不一定是.net的玩意，你要不开了之后看看有没有加载.net那些dll

源程序应该是.net相关。
附带的dll都是.net标准和第三方dll。

爱飞的猫

softmining 发表于 2024-8-20 20:08
谢谢大佬！

试着进行脱壳。脱壳的出了点错误。没能完全脱掉。

可以试试用 de4dot 强制重命名，把奇怪的名字都变成统一的 `xx_method` 这样。
具体用法可以翻翻论坛的帖子或看程序帮助。
不确定新壳是否有效。

艾莉希雅

softmining 发表于 2024-8-20 21:13
源程序应该是.net相关。
附带的dll都是.net标准和第三方dll。

哦，那就按.net的几板斧干上去试试

softmining

艾莉希雅 发表于 2024-8-20 21:57
哦，那就按.net的几板斧干上去试试

纯纯新手一个，请教一下.net的几板斧哪里可以学习。