Safengine Shielden for .net unpackme 工具党脱壳详解

brezeer

技术大牛们为什么每次搞完一个unpack或者crack me就直接丢结果，说好的分析步骤呢？藏着掖着也没啥意思吧，何况脱Safengine Shielden for .net 只有一颗星的难度。会者不难，难着不会，软件的精神莫过于分享，为难我等小菜如何带领我们进步?
http://www.52pojie.cn/thread-336758-1-1.html
画眉大侠的【.NET】UnPackMe，用Safengine Shielden加的壳
脱壳目的如下：
1.程序脱壳(难度：★)
2.能看到源码(难度：★)
3.能正常运行(难度：★★★★)

脱壳详解 - 无脑工具党就行了。注意：以下方法，可以治愈大部分整体加密的DOTNET壳。不仅限于本文程序。

1. 运行程序，用Task Explorer直接在内存中抓，如下图所示dump PE



2.用CFF打开dump后程序， 发现元数据还是没有列出来，因此直接用Universal Fixer 仅修复 Fix .NET Metadata就好了。如下图所示：



3.修复好后，无法运行。但是可以看到源码了。拿出微软自己的ILDASM 和ILASM反编译后再编译回去就可以了。




脱壳前大小762K，脱壳后大小24K

工具列表
Taks Explorer 和 CFF 下载地址：http://www.ntcore.com/exsuite.php
Universal Fixer 下载地址：http://www.52pojie.cn/thread-82492-1-1.html
ILDASM/ILASM 微软VS2010以上版本自带 DOTNET4.0的反编译/编译工具。

Unpacked.zip (3.05 KB, 下载次数: 299)

2015-11-22 13:24 上传

点击文件名下载附件

hupengpeng

谢谢分享，对于壳.net只能靠工具了。

amscracker

你这个是脱.net的嘛！

飞越彩泓

多谢分享，周末愉快！

smile1110

原来是.net程序，吓俺一跳

ccboy25

受教了,谢谢楼主精彩的文章

manbajie

哇，这个可以有的说，学习了

小楠

真真的吓我一跳，还以为是秒SE的~

七言V

我以为是秒se!

一生情独醉

感谢分享，进来学习！