样本地址 https://www.hybrid-analysis.com/sample/4b4b8b13c264c8f7d7034060e0e4818a573bebc576a94d7b13b4c1741591687f?environmentId=100# 样本使用ConvertTo-SecureString加密字符串. 代码 powershell "([RUNTiME.iNTeRopsErViCeS.mArShal]::PTRTOstRiNGuNi( [rUnTime.IntErOPSERvIc…

样本地址: https://www.virustotal.com/#/file/6f9034646e6fcead5342f708031412e3c2efdb4fb0f37bba43133a471d1cb0e0/detection 样本为一个Word文件,嵌入Macros,寻找命令执行点比较简单, 稍微跟了一下直接定位到 Sub SssbuNrRrEn(UJXYrqZETb As String) On Error Resume Next MfiCpKuAf = RfiiUVAYh - kDjdVi…

大家好,前段时间做数据分析,需要解析对方数据,而数据文件是对方公司内部的生成方式,完全不知道它是怎么生成的. 不过还好能拿到客户端(正好是C#开发)所以第一件事就是用Reflector编译,但是没有想象的那么简单,看看反编译结果 代码已经混淆了,方法体内部处理也看不见 ,怎么办喃? 现在就来说说反混淆(剥壳)那些事 目前比较常用的混淆(加壳)有Dotfuscator,MaxToCode,Xenocode,ThemIDA. 反混淆的工具有很多Dedot ,DePhe,XeCoString等,但是这…

反编译工具 Reflector 破解版下载地址:http://pan.baidu.com/s/15UwJo 使用方法:略 反混淆工具De4Dot 开源软件 下载地址http://pan.baidu.com/s/1d4fLt 使用方法: 参见:http://www.cnblogs.com/jio92/p/de4dot.html 修改dell/exe代码工具 reflexil 下载地址 http://pan.baidu.com/s/1sjynuPn 使用方法:安装Reflector,Reflexil…

js反混淆地址:http://www.bm8.com.cn/jsConfusion/ 在线javascript 混淆http://www.moralsoft.com/jso-online/hdojso.htm…

net破解一(反编译,反混淆-剥壳,工具推荐) 大家好,前段时间做数据分析,需要解析对方数据,而数据文件是对方公司内部的生成方式,完全不知道它是怎么生成的. 不过还好能拿到客户端(正好是C#开发)所以第一件事就是用Reflector编译,但是没有想象的那么简单,看看反编译结果 代码已经混淆了,方法体内部处理也看不见 ,怎么办喃? 现在就来说说反混淆(剥壳)那些事 目前比较常用的混淆(加壳)有Dotfuscator,MaxToCode,Xenocode,ThemIDA. 反混淆的工具有很多Dedo…

RESTClient调试POST方法 RESTClient是火狐的一款WebAPI测试工具. 1.先看下我们要调试的接口…

de4dot是一个开源的.net反混淆脱壳工具,是用C#编写的,介绍一下它的使用方法 首先 pushd 到de4dot.exe所在文件夹,然后调用 de4dot.exe  路径+dll名称 如果显示:Detected Unknown Obfuscator 说明侦测不到这个程序集是用什么方式混淆的,但是de4dot依然会把反混淆的程序集重新生成一个新的程序集. 当然,生成的程序集还是没能反混淆. 如果有兴趣的朋友想了解核心算法,可以去官网下来看https://bitbucket.org/0xd4d…

前一篇我测试了vba调用htmlfile做反混淆,并执行js加密函数的代码.本文换成C#实现. 联系QQ:564955427 C#操作JS函数,可以通过ScriptControl组件,但这个组件只能在x86进程下运行.如果在X64下,可以使用Htmlfile组件. C#调用com组件需要使用CreateInstance,当然也可以通过调用vb.net中的CreatObject来实现,或者反编译vb.net里面的CreatObject来修改成C#代码,只要解决了这个问题,剩下的就好办了. 通过调用…

本文地址:http://www.cnblogs.com/Charltsing/p/JSEval.html 联系QQ:564955427 类似下面的代码是登陆 全国企业信用信息公示系统(安徽)(网址:http://www.ahcredit.gov.cn/search.jspx)时得到的,需要反混淆. eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>32?String.fromCha…