今天别人发来一个.Net的DLL让我脱壳,第一步自然是先扔进de4dot

我这个de4dot 是集成了  Ivancito0z / TheProxy / PC-RET 4.9mod / wuhensoft(5.0) 各大神修改的版本,无法脱壳,肯定就是新的reactor 5加的壳了。
我们加上 -v 参数显示错误

在解密资源的时候出错了,我们打开de4dot的源码,找到报错的位置

懒的分析原因,直接注释掉,编译de4dot 后重新进行脱壳。

成功脱壳,打开看看

发现字符串未被正确解密。
我们再次解密:

命令行(用法和token获取具体参考de4dot帮助)

de4dot SixTow-cleaned.dll --strtyp delegate --strtok 0x060001BA -v

解密后发现字符串依然未解密,我们再回头看解密函数

 
01
02
03
04
05
06
07
08
09
10
11
12
13
14
15
[Class8.Attribute0(typeof(Class8.Attribute0.Class9<object>[]))]
    internal static string smethod_10(int int_5)
    {
        if (Class8.byte_1.Length == 0)
        {
            BinaryReader binaryReader = new BinaryReader(Class8.assembly_0.GetManifestResourceStream("pF5NG7nGmlpjNJS2XA.xvDeEZ4QpSKik8SYCO"));
            binaryReader.BaseStream.Position = 0L;
            byte[] array = binaryReader.ReadBytes((int)binaryReader.BaseStream.Length);
            binaryReader.Close();
            byte[] array2 = new byte[32];
            array2[0] = 177;
            array2[0] = 136;
            array2[0] = 181;
            array2[1] = 96;
            array2[1] = 150;

解密是通过资源  pF5NG7nGmlpjNJS2XA.xvDeEZ4QpSKik8SYCO 解密出来的,但是pF5NG7nGmlpjNJS2XA.xvDeEZ4QpSKik8SYCO在de4dot脱壳的时候清理了。

好吧,我们从原程序中将 pF5NG7nGmlpjNJS2XA.xvDeEZ4QpSKik8SYCO 提取出来,并加入 脱壳后的文件(如图)。

再次使用
de4dot SixTow-cleaned.dll --strtyp delegate --strtok 0x060001BA -v
进行解密

发现成功解密。脱壳完成(部分混淆是其它DLL中的,不在此文讨论范围)

欢迎指正。

.Net Reactor 5脱壳教程的更多相关文章

  1. 简单脱壳教程笔记(2)---手脱UPX壳(1)

    本笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记. ximo早期发的脱壳基础视频教程 下载地址如下: http://down.52pojie.cn/%E5%90%BE%E7%88%B1%E7% ...

  2. 【个人笔记】ximo早期发的脱壳教程——手脱UPX壳

    [个人笔记]ximo早期发的脱壳教程--手脱UPX壳   壳分为两种:压缩壳和加密壳,UPX是一种很简单的压缩壳.   手脱UPX壳: 工具:ExeinfoPE.OD 对象:rmvbfix 方法1:单 ...

  3. Themida和Winlicense加壳软件脱壳教程

    (一)Themida和不用license的Winlicense加壳软件就不说了,直接上脚本脱壳. (二)先看看不同版本OEP的一些小特征: Temida2.1.X.X版本之后的OEP特征(2.0.8. ...

  4. 简单脱壳教程笔记(8)---手脱EZIP壳

    本笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记.本笔记用到的工具下载地址: http://download.csdn.net/detail/obuyiseng/9466056 EZIP壳 : ...

  5. 简单脱壳教程笔记(7)---手脱PECompact2.X壳

    本笔记是针对ximo早期发的脱壳基础视频教程.整理的笔记.本笔记用到的工具下载地址: http://download.csdn.net/detail/obuyiseng/9466056 简单介绍: F ...

  6. Net Reactor 5

    Net Reactor 5脱壳教程   今天别人发来一个.Net的DLL让我脱壳,第一步自然是先扔进de4dot 我这个de4dot 是集成了  Ivancito0z / TheProxy / PC- ...

  7. [视频]K8软件破解脱壳入门教程

    [视频]K8软件破解脱壳入门教程 链接:https://pan.baidu.com/s/1aV9485MmtRedU6pzyr--Vw 提取码:vbak C:\Users\K8team\Desktop ...

  8. 关于《加密与解密》的读后感----对dump脱壳的一点思考

    偶然翻了一下手机日历,原来今天是夏至啊,时间过的真快.ISCC的比赛已经持续了2个多月了,我也跟着比赛的那些题目学了2个月.......虽然过程很辛苦,但感觉还是很幸运的,能在大三的时候遇到ISCC, ...

  9. 对dump脱壳的一点思考

    对dump脱壳的一点思考 偶然翻了一下手机日历,原来今天是夏至啊,时间过的真快.ISCC的比赛已经持续了2个多月了,我也跟着比赛的那些题目学了2个月.......虽然过程很辛苦,但感觉还是很幸运的,能 ...

随机推荐

  1. SpringJdbc持久层封装,Spring jdbcTemplate封装,springJdbc泛型Dao,Spring baseDao封装

    SpringJdbc持久层封装,Spring jdbcTemplate封装,springJdbc泛型Dao,Spring baseDao封装 >>>>>>>& ...

  2. 如何在AngularX 中 使用ngrx

    ngrx 是 Angular框架的状态容器,提供可预测化的状态管理. 1.首先创建一个可路由访问的模块 这里命名为:DemopetModule. 包括文件:demopet.html.demopet.s ...

  3. Akka(13): 分布式运算:Cluster-Sharding-运算的集群分片

    通过上篇关于Cluster-Singleton的介绍,我们了解了Akka为分布式程序提供的编程支持:基于消息驱动的运算模式特别适合分布式程序编程,我们不需要特别的努力,只需要按照普通的Actor编程方 ...

  4. icon button样式(类似windows桌面图标)

    <Style x:Key="IconButton" TargetType="{x:Type Button}"> <Setter Propert ...

  5. webpack热更新问题和antd design字体图标库扩展

    标题也不知道怎么写好,真是尴尬.不过话说回来,距离上一次写文快两个月了,最近有点忙,一直在开发新项目, 今天刚刚闲下来,项目准备提测.借这个功夫写点东西,把新项目上学到的一些好的干活分享一下,以便之后 ...

  6. SVN常见问题

    one or more files are in a conflicted state.(一个或多个文件处于矛盾状态)意思是这个文件已经被其他人修改过了. 然后我点击ok按钮后,找到冲突的文件再次up ...

  7. linux函数的阻塞与非阻塞IO及错误处理

    1.阻塞是指进程等待某一个事件的发生而处于等待状态不往下执行,如果等待的事件发生了则会继续执行该进程.调用系统阻塞函数可能会导致进程阻塞进入睡眠状态. 2.阻塞IO之read读取键盘输入数据 3.li ...

  8. 【PHP】打印输出var_dump+echo+print_r

    var_dump 判断一个变量的类型与长度如:<?$a = 1;$b = 't';echo var_dump($ta,$tb); // 结果为 int(123) string(3) " ...

  9. 【Mysql】Mysql关键字

    ADD ALL ALTER ANALYZE AND AS ASC ASENSITIVE BEFORE BETWEEN BIGINT BINARY BLOB BOTH BY CALL CASCADE C ...

  10. centos7下安装PHP swoole扩展

    PHP的异步.并行.高性能网络通信引擎,使用纯C语言编写,提供了PHP语言的异步多线程服务器,异步TCP/UDP网络客户端,异步MySQL,异步Redis,数据库连接池,AsyncTask,消息队列, ...