de4dot  /? 帮助原文

使用方法

de4dot "d:\xx.exe" -p xc 

-p xc  指定壳类型 , 这里是xc,表示Xenocode壳.
这样会在exe的相同目录生成一个 xx_cleaned.exe 的文件, 拖进ILSpy什么的去看代码吧.
要指定输出路径请使用 -o "d:\output\xx.exe"

一般选对壳了大部分都可以脱掉,脱不掉的首先尝试使用最新版的de4dot, 脱完之后一部分类/方法名会恢复, 另一部分会变成Class123,、method_123之类的, ,不过总比那些都显示不出来的字符可强多了,简单修改一下即可编译了。 突然想到有没有人搞个de4dot GUI工具呢?

放俩图对比一下:

de4dot v3.1.41592. Copyright (C) - de4dot@gmail.com

Latest version and source code: https://bitbucket.org/0xd4d/de4dot

Some of the advanced options may be incompatible, causing a nice exception.

With great power comes great responsibility.

de4dot <options> <file options>

Options:

  -r DIR           Scan for .NET files in all subdirs

  -ro DIR          Output base dir for recursively found files

  -ru              Skip recursively found files with unsupported obfuscator

  -d               Detect obfuscators and exit

  --asm-path PATH  Add an assembly search path

  --dont-rename    Don't rename classes, methods, etc.

  --keep-names FLAGS

                   Don't rename n(amespaces), t(ypes), p(rops), e(vents), f(ields), m(ethods), a(rgs), g(enericparams), d(elegate fields). Can be combined, eg. efm

  --dont-create-params

                   Don't create method params when renaming

  --dont-restore-props

                   Don't restore properties/events

  --default-strtyp TYPE

                   Default string decrypter type

  --default-strtok METHOD

                   Default string decrypter method token or [type::][name][(args,...)]

  --no-cflow-deob  No control flow deobfuscation (NOT recommended)

  --load-new-process

                   Load executed assemblies into a new process

  --keep-types     Keep obfuscator types, fields, methods

  --preserve-tokens

                   Preserve important tokens, #US, #Blob, extra sig data

  --preserve-table FLAGS

                   Preserve rids in table: tr (TypeRef), td (TypeDef), fd (Field), md (Method), pd (Param), mr (MemberRef), s (StandAloneSig), ed (Event), pr (Property), ts (TypeSpec), ms (MethodSpec), all (all previous tables). Use - to disable (eg. all,-pd). Can be combined: ed,fd,md

  --preserve-strings

                   Preserve #Strings heap offsets

  --preserve-us    Preserve #US heap offsets

  --preserve-blob  Preserve #Blob heap offsets

  --preserve-sig-data

                   Preserve extra data at the end of signatures

  --one-file       Deobfuscate one file at a time

  -v               Verbose

  -vv              Very verbose

  -h               Show this help message

  --help           Same as -h

File options:

  -f FILE          Name of .NET file

  -o FILE          Name of output file

  -p TYPE          Obfuscator type (see below)

  --strtyp TYPE    String decrypter type

  --strtok METHOD  String decrypter method token or [type::][name][(args,...)]

Deobfuscator options:

Type un (Unknown)

  --un-name REGEX  Valid name regex pattern (^[a-zA-Z_<{$][a-zA-Z_0-<>{}$.`-]*$)

Type an (Agile.NET)

  --an-name REGEX  Valid name regex pattern (^[\u2E80-\u9FFFa-zA-Z_<{$][\u2E80-\u9FFFa-zA-Z_0-<>{}$.`-]*$)

  --an-methods BOOL

                   Decrypt methods (True)

  --an-rsrc BOOL   Decrypt resources (True)

  --an-stack BOOL  Remove all StackFrameHelper code (True)

  --an-vm BOOL     Restore VM code (True)

  --an-initlocals BOOL

                   Set initlocals in method header (True)

Type bl (Babel .NET)

  --bl-name REGEX  Valid name regex pattern (^[\u2E80-\u9FFFa-zA-Z_<{$][\u2E80-\u9FFFa-zA-Z_0-<>{}$.`-]*$)

  --bl-inline BOOL Inline short methods (True)

  --bl-remove-inlined BOOL

                   Remove inlined methods (True)

  --bl-methods BOOL

                   Decrypt methods (True)

  --bl-rsrc BOOL   Decrypt resources (True)

  --bl-consts BOOL Decrypt constants and arrays (True)

  --bl-embedded BOOL

                   Dump embedded assemblies (True)

Type cf (CodeFort)

  --cf-name REGEX  Valid name regex pattern (!^[a-zA-Z]{,}$&!^[_<>{}$.`-]$&^[\u2E80-\u9FFFa-zA-Z_<{$][\u2E80-\u9FFFa-zA-Z_0-<>{}$.`-]*$)

  --cf-embedded BOOL

                   Dump embedded assemblies (True)

Type cv (CodeVeil)

  --cv-name REGEX  Valid name regex pattern (!^[A-Za-z]{,}$&^[\u2E80-\u9FFFa-zA-Z_<{$][\u2E80-\u9FFFa-zA-Z_0-<>{}$.`-]*$)

Type cw (CodeWall)

  --cw-name REGEX  Valid name regex pattern (!^[-9A-F]{}$&!^[_<>{}$.`-]$&^[\u2E80-\u9FFFa-zA-Z_<{$][\u2E80-\u9FFFa-zA-Z_0-<>{}$.`-]*$)

  --cw-embedded BOOL

                   Dump embedded assemblies (True)

  --cw-decrypt-main BOOL

                   Decrypt main embedded assembly (True)

Type co (Crypto Obfuscator)

  --co-name REGEX  Valid name regex pattern (!^(get_|set_|add_|remove_)?[A-Z]{,}(?:`\d+)?$&!^(get_|set_|add_|remove_)?c[-9a-f]{}(?:`\d+)?$&^[\u2E80-\u9FFFa-zA-Z_<{$][\u2E80-\u9FFFa-zA-Z_0-<>{}$.`-]*$)

  --co-tamper BOOL Remove tamper protection code (True)

  --co-consts BOOL Decrypt constants (True)

  --co-inline BOOL Inline short methods (True)

  --co-ldnull BOOL Restore ldnull instructions (True)

Type ds (DeepSea)

  --ds-name REGEX  Valid name regex pattern (^[\u2E80-\u9FFFa-zA-Z_<{$][\u2E80-\u9FFFa-zA-Z_0-<>{}$.`-]*$)

  --ds-inline BOOL Inline short methods (True)

  --ds-remove-inlined BOOL

                   Remove inlined methods (True)

  --ds-rsrc BOOL   Decrypt resources (True)

  --ds-embedded BOOL

                   Dump embedded assemblies (True)

  --ds-fields BOOL Restore fields (True)

  --ds-keys BOOL   Rename resource keys (True)

  --ds-casts BOOL  Deobfuscate casts (True)

Type df (Dotfuscator)

  --df-name REGEX  Valid name regex pattern (!^(?:eval_)?[a-z][a-z0-]{,}$&!^A_[-]+$&^[\u2E80-\u9FFFa-zA-Z_<{$][\u2E80-\u9FFFa-zA-Z_0-<>{}$.`-]*$)

Type dr3 (.NET Reactor)

  --dr3-name REGEX Valid name regex pattern (^[\u2E80-\u9FFFa-zA-Z_<{$][\u2E80-\u9FFFa-zA-Z_0-<>{}$.`-]*$)

  --dr3-types BOOL Restore types (object -> real type) (True)

  --dr3-inline BOOL

                   Inline short methods (True)

  --dr3-remove-inlined BOOL

                   Remove inlined methods (True)

  --dr3-ns1 BOOL   Clear namespace if there's only one class in it (True)

  --dr3-sn BOOL    Remove anti strong name code (True)

Type dr4 (.NET Reactor)

  --dr4-name REGEX Valid name regex pattern (^[\u2E80-\u9FFFa-zA-Z_<{$][\u2E80-\u9FFFa-zA-Z_0-<>{}$.`-]*$)

  --dr4-methods BOOL

                   Decrypt methods (True)

  --dr4-bools BOOL Decrypt booleans (True)

  --dr4-types BOOL Restore types (object -> real type) (True)

  --dr4-inline BOOL

                   Inline short methods (True)

  --dr4-remove-inlined BOOL

                   Remove inlined methods (True)

  --dr4-embedded BOOL

                   Dump embedded assemblies (True)

  --dr4-rsrc BOOL  Decrypt resources (True)

  --dr4-ns1 BOOL   Clear namespace if there's only one class in it (True)

  --dr4-sn BOOL    Remove anti strong name code (True)

  --dr4-sname BOOL Rename short names (False)

Type ef (Eazfuscator.NET)

  --ef-name REGEX  Valid name regex pattern (!^[a-zA-Z]$&!^#=&!^dje_.+_ejd$&^[\u2E80-\u9FFFa-zA-Z_<{$][\u2E80-\u9FFFa-zA-Z_0-<>{}$.`-]*$)

Type go (Goliath.NET)

  --go-name REGEX  Valid name regex pattern (!^[A-Za-z]{,}(?:`\d+)?$&^[\u2E80-\u9FFFa-zA-Z_<{$][\u2E80-\u9FFFa-zA-Z_0-<>{}$.`-]*$)

  --go-inline BOOL Inline short methods (True)

  --go-remove-inlined BOOL

                   Remove inlined methods (True)

  --go-locals BOOL Restore locals (True)

  --go-ints BOOL   Decrypt integers (True)

  --go-arrays BOOL Decrypt arrays (True)

  --go-sn BOOL     Remove anti strong name code (True)

Type il (ILProtector)

  --il-name REGEX  Valid name regex pattern (^[\u2E80-\u9FFFa-zA-Z_<{$][\u2E80-\u9FFFa-zA-Z_0-<>{}$.`-]*$)

Type mc (MaxtoCode)

  --mc-name REGEX  Valid name regex pattern (!^[oO01l]+$&!^[A-F0-]{,}$&^[\u2E80-\u9FFFa-zA-Z_<{$][\u2E80-\u9FFFa-zA-Z_0-<>{}$.`-]*$)

  --mc-cp INT      String code page ()

Type mp (MPRESS)

  --mp-name REGEX  Valid name regex pattern (^[\u2E80-\u9FFFa-zA-Z_<{$][\u2E80-\u9FFFa-zA-Z_0-<>{}$.`-]*$)

Type rm (Rummage)

  --rm-name REGEX  Valid name regex pattern (!.)

Type sk (Skater .NET)

  --sk-name REGEX  Valid name regex pattern (!`[^-]+&^[\u2E80-\u9FFFa-zA-Z_<{$][\u2E80-\u9FFFa-zA-Z_0-<>{}$.`-]*$)

Type sa (SmartAssembly)

  --sa-name REGEX  Valid name regex pattern (^[\u2E80-\u9FFFa-zA-Z_<{$][\u2E80-\u9FFFa-zA-Z_0-<>{}$.`-]*$)

  --sa-error BOOL  Remove automated error reporting code (True)

  --sa-tamper BOOL Remove tamper protection code (True)

  --sa-memory BOOL Remove memory manager code (True)

Type sn (Spices.Net)

  --sn-name REGEX  Valid name regex pattern (!^[a-zA-Z0-]{,}$&^[\u2E80-\u9FFFa-zA-Z_<{$][\u2E80-\u9FFFa-zA-Z_0-<>{}$.`-]*$)

  --sn-inline BOOL Inline short methods (True)

  --sn-remove-inlined BOOL

                   Remove inlined methods (True)

  --sn-ns1 BOOL    Clear namespace if there's only one class in it (True)

  --sn-rsrc BOOL   Restore resource names (True)

Type xc (Xenocode)

  --xc-name REGEX  Valid name regex pattern (!^[oO01l]{,}$&!^(get_|set_|add_|remove_|_)?[x_][a-f0-]{,}$&^[\u2E80-\u9FFFa-zA-Z_<{$][\u2E80-\u9FFFa-zA-Z_0-<>{}$.`-]*$)

String decrypter types

  none             Don't decrypt strings

  default          Use default string decrypter type (usually static)

  static           Use static string decrypter if available

  delegate         Use a delegate to call the real string decrypter

  emulate          Call real string decrypter and emulate certain instructions

Multiple regexes can be used if separated by '&'.

Use '!' if you want to invert the regex. Example: !^[a-z\d]{,}$&!^[A-Z]_\d+$&^[\w.]+$

Examples:

de4dot -r c:\my\files -ro c:\my\output

de4dot file1 file2 file3

de4dot file1 -f file2 -o file2.out -f file3 -o file3.out

de4dot file1 --strtyp delegate --strtok

ERROR:

ERROR:

ERROR: ERROR: File "/?" does not exist.

ERROR:

支持的混淆器种类(从github复制来的)

  • Agile.NET (aka CliSecure)
  • Babel.NET
  • CodeFort
  • CodeVeil
  • CodeWall
  • CryptoObfuscator
  • DeepSea Obfuscator
  • Dotfuscator
  • .NET Reactor
  • Eazfuscator.NET
  • Goliath.NET
  • ILProtector
  • MaxtoCode
  • MPRESS
  • Rummage
  • Skater.NET
  • SmartAssembly
  • Spices.Net
  • Xenocode

下载地址: http://pan.baidu.com/s/1hqvcNkS

github : https://github.com/0xd4d/de4dot

.Net脱壳工具 de4dot参数说明/简易教程的更多相关文章

  1. .net反混淆脱壳工具de4dot的使用

    de4dot是一个开源的.net反混淆脱壳工具,是用C#编写的,介绍一下它的使用方法 首先 pushd 到de4dot.exe所在文件夹,然后调用 de4dot.exe  路径+dll名称 如果显示: ...

  2. JavaFX简介和Scene Builder工具的安装使用简易教程

    JavaFX概述和简介 富互联网应用是那些提供与Web应用程序类似的功能,并可作为桌面应用程序体验的应用.与用户的正常网络应用程序相比,它们提供更好的视觉体验.这些应用程序可作为浏览器插件或作为虚拟机 ...

  3. 生活科技两相宜:(一)Win7使用微软SkyDrive网盘简易教程

    今天得写一个Win7使用微软SkyDrive网盘的简易教程,主要是给我老婆看,顺便贴出来给大家共享一下:)    使用微软SkyDrive网盘有两个层次.一个是使用网页版,这个跟使用163或者QQ网盘 ...

  4. JavaScript简易教程(转)

    原文:http://www.cnblogs.com/yanhaijing/p/3685304.html 这是我所知道的最完整最简洁的JavaScript基础教程. 这篇文章带你尽快走进JavaScri ...

  5. 文件上传利器SWFUpload入门简易教程

    凡做过网站开发的都应该知道表单file的确鸡肋. Ajax解决了不刷新页面提交表单,但是却没有解决文件上传不刷新页面,当然也有其它技术让不刷新页面而提交文件,该技术主要是利用隐藏的iFrame, 较A ...

  6. Ant 简易教程

    转载:http://www.cnblogs.com/jingmoxukong/p/4433945.html Ant 简易教程 Apache Ant,是一个将软件编译.测试.部署等步骤联系在一起加以自动 ...

  7. Intellj IDEA 简易教程

    Intellj IDEA 简易教程 目录 JDK 安装测试 IDEA 安装测试 调试 单元测试 重构 Git Android 其他 参考资料 Java开发IDE(Integrated Developm ...

  8. Android开发简易教程

    Android开发简易教程 Android 开发因为涉及到代码编辑.UI 布局.打包等工序,有一款好用的IDE非常重要.Google 最早提供了基于 Eclipse 的 ADT 作为开发工具,后来在2 ...

  9. Flow简易教程——安装篇

    .mydoc_h1{ margin: 0 0 1em; } .mydoc_h1_a{ color: #2c3e50; text-decoration: none; font-size: 2em; } ...

随机推荐

  1. java8工具类使用

    1:map的使用 computeIfPresent ,如果键已经存在,将键和值作为参数传到函数式中,计算返回新的值 import java.util.HashMap; import java.util ...

  2. Java基础知识陷阱(十)

    本文发表于本人博客. 上个星期由于时间比较紧所以未能继续写下去,今天再接再厉,专心 + 坚持这样离目标就越来越近了!废话少说说正题,今天我们还是来说说java中比较基础的知识,大家知道编写java程序 ...

  3. 字节跳动冬令营网络赛 Solution

    A:Aloha Unsolved. B:Origami Unsolved. 题意: 初始的时候有一张纸,可以从左边往右边折叠,或者从右边往左边折叠 每次折叠的长度不能超过现有宽度,最后折叠到长度为1 ...

  4. hdu5091 线段树

    题意: 给了n个点在平面中 n<10000  然后 将这给了一个 宽为W 高为 H 的 矩形, 然后 使得这个矩形可以 涵盖最多的点有多少个,然后矩形的宽平行x 轴高平行y轴.可以将该矩形 水平 ...

  5. spring AOP的两种代理

    本篇记录下spring AOP的两种代理,为下一篇AOP实现做下铺垫. 1.JDK动态代理  2.cglib代理 1.如果目标对象实现了接口,默认情况下会采用JDK的动态代理实现AOP2.如果目标对象 ...

  6. inline用法详解

    (一)inline函数(摘自C++ Primer的第三版) 在函数声明或定义中函数返回类型前加上关键字inline即把min()指定为内联. inline int min(int first, int ...

  7. RESTful源码笔记之RESTful Framework的Mixins小结

    0x00 引言 本篇对drf中的mixins进行简要的分析总结.Mixins在drf中主要配合viewset共同使用,实现http方法与mixins的相关类与方法进行关联. from rest_fra ...

  8. Sybase数据库常用函数

    Sybase数据库常用函数 一.字符串函数 1,ISNULL(EXP1,EXP2,EXP3,...) :返回第一个非空值,用法与COALESCE(exp1,exp2[,exp3...])相同: 2,T ...

  9. Xilinx Uboot网卡驱动分析

    1.MAC控制器.网卡.PHY.MDIO.mii.gmii.rgmii概念扫盲 网卡在功能上包含OSI模型的两个层,数据链路层和物理层.物理层定义了数据传送与接收所需要的电与光信号.线路状态.时钟基准 ...

  10. vue中实现中,自动补全功能

    知识点:利用vue的基本语法实现,自动补全功能 参考博客:https://www.jb51.net/article/136282.htm 效果:在文本框中,输入相关名称,调用后台接口,将数据填充到下拉 ...