C# DLL 函数名简单混淆后的还原(某烂尾电视出的游戏为例)

meiercn

没接触过所以一开始想的太复杂了 其实很简单....
先常规方法 DUMP出DLL

啥也没改 就只是混淆了下函数名...直接就可以打开..
-----------
修复:
选择任意MONO 函数只要参数有  MonoMethod MonoClass MonoImage都行..
因为从MonoMethod  可以取到MonoClass  从 MonoClass就可以取到 MonoImage
取到MonoImage  将MonoImage的 heap_strings DUMP出来 写回 DUMP出的DLL就可以了.

之所以会还原的原因好像是 混淆是后期处理的.为了兼容反射.所以会进行还原
还原后:

meiercn

dll是不可能丢出来的。。因为论坛不让。
再有 这个真的很简单。
用 cff explorer 打开任意一个 .net dll
在.net目录下能看到 #Strings  .net dll所用到的字符都在这里了。

至于为什么直接DUMP出来的DLL 是混淆的。但是读取heap_strings （也就是cff explorer中看到的 #Strings ）却是还原后的。
猜测是（达到目的就没继续看了）：
Mono加载DLL：mono_image_open_from_data_with_name->mono_image_open_from_data_internal
然后 new了一个MonoImage并将加载的DLL传了过去。
然后调用没导出的函数：do_mono_image_load 进行了一些初始化操作。。猜测是在这里面还原了 #Strings 表

将  #Strings 保存出来后。不想算位置就直接用cffexplorer 打开混淆后的DLL再用WINHEX 打开 保存出来的表。复制16进制 。再利用cff explorer的写入功能 写回去。

Hi.abc52

希望具体详细的分析。                               

还有某烂尾电视出的游戏 是什么游戏？？                           

lyghost

不错，以后备用

1sina

看不懂系列 小白路过

XXTK

表示没有看懂，如果细化一下，再丢出DLL就好了

JavaSB

谢谢分享

gaofan2017

收下了，以后看

大白痴先生

楼主可以讲解的稍微详细一点么，完全看不懂呀，谢谢啦

凶狠的小白免

dnspy 传说比ilspy还要强

搜索曾经的回忆

看不懂。。。