样本地址 https://www.hybrid-analysis.com/sample/4b4b8b13c264c8f7d7034060e0e4818a573bebc576a94d7b13b4c1741591687f?environmentId=100# 样本使用ConvertTo-SecureString加密字符串. 代码 powershell "([RUNTiME.iNTeRopsErViCeS.mArShal]::PTRTOstRiNGuNi( [rUnTime.IntErOPSERvIc…

样本地址: https://www.virustotal.com/#/file/6f9034646e6fcead5342f708031412e3c2efdb4fb0f37bba43133a471d1cb0e0/detection 样本为一个Word文件,嵌入Macros,寻找命令执行点比较简单, 稍微跟了一下直接定位到 Sub SssbuNrRrEn(UJXYrqZETb As String) On Error Resume Next MfiCpKuAf = RfiiUVAYh - kDjdVi…

大家好,前段时间做数据分析,需要解析对方数据,而数据文件是对方公司内部的生成方式,完全不知道它是怎么生成的. 不过还好能拿到客户端(正好是C#开发)所以第一件事就是用Reflector编译,但是没有想象的那么简单,看看反编译结果 代码已经混淆了,方法体内部处理也看不见 ,怎么办喃? 现在就来说说反混淆(剥壳)那些事 目前比较常用的混淆(加壳)有Dotfuscator,MaxToCode,Xenocode,ThemIDA. 反混淆的工具有很多Dedot ,DePhe,XeCoString等,但是这…

反编译工具 Reflector 破解版下载地址:http://pan.baidu.com/s/15UwJo 使用方法:略 反混淆工具De4Dot 开源软件 下载地址http://pan.baidu.com/s/1d4fLt 使用方法: 参见:http://www.cnblogs.com/jio92/p/de4dot.html 修改dell/exe代码工具 reflexil 下载地址 http://pan.baidu.com/s/1sjynuPn 使用方法:安装Reflector,Reflexil…

js反混淆地址:http://www.bm8.com.cn/jsConfusion/ 在线javascript 混淆http://www.moralsoft.com/jso-online/hdojso.htm…

net破解一(反编译,反混淆-剥壳,工具推荐) 大家好,前段时间做数据分析,需要解析对方数据,而数据文件是对方公司内部的生成方式,完全不知道它是怎么生成的. 不过还好能拿到客户端(正好是C#开发)所以第一件事就是用Reflector编译,但是没有想象的那么简单,看看反编译结果 代码已经混淆了,方法体内部处理也看不见 ,怎么办喃? 现在就来说说反混淆(剥壳)那些事 目前比较常用的混淆(加壳)有Dotfuscator,MaxToCode,Xenocode,ThemIDA. 反混淆的工具有很多Dedo…

RESTClient调试POST方法 RESTClient是火狐的一款WebAPI测试工具. 1.先看下我们要调试的接口…

de4dot是一个开源的.net反混淆脱壳工具,是用C#编写的,介绍一下它的使用方法 首先 pushd 到de4dot.exe所在文件夹,然后调用 de4dot.exe  路径+dll名称 如果显示:Detected Unknown Obfuscator 说明侦测不到这个程序集是用什么方式混淆的,但是de4dot依然会把反混淆的程序集重新生成一个新的程序集. 当然,生成的程序集还是没能反混淆. 如果有兴趣的朋友想了解核心算法,可以去官网下来看https://bitbucket.org/0xd4d…

前一篇我测试了vba调用htmlfile做反混淆,并执行js加密函数的代码.本文换成C#实现. 联系QQ:564955427 C#操作JS函数,可以通过ScriptControl组件,但这个组件只能在x86进程下运行.如果在X64下,可以使用Htmlfile组件. C#调用com组件需要使用CreateInstance,当然也可以通过调用vb.net中的CreatObject来实现,或者反编译vb.net里面的CreatObject来修改成C#代码,只要解决了这个问题,剩下的就好办了. 通过调用…

本文地址:http://www.cnblogs.com/Charltsing/p/JSEval.html 联系QQ:564955427 类似下面的代码是登陆 全国企业信用信息公示系统(安徽)(网址:http://www.ahcredit.gov.cn/search.jspx)时得到的,需要反混淆. eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>32?String.fromCha…

一.简介 本文给大家列举一些常用的.net程序反破解代码混淆工具.同时也列取一些反混淆工具. 二.混淆工具 Agile.NET (aka CliSecure) Babel.NET CodeFort CodeVeil CodeWall CryptoObfuscator DeepSea Obfuscator Dotfuscator .NET Reactor Eazfuscator.NET Goliath.NET ILProtector MaxtoCode MPRESS Rummage Skater.…

https://www.hhtjim.com/js-decryption-de-obfuscate-eval-function.html JS的eval函数解密反混淆…

信息安全常被描述成一场军备竞赛,白帽与黑帽,渗透测试者与黑客,善与恶,本文将聚焦这场永无止境决斗中的一个小点. HTML5 & JS 应用中充满着对输入进行验证/注入的问题,需要开发人员始终保持警惕.但同时还存在着另一个问题,就是应用中程序专用代码的易访问性.为了防止盗版或者至少使盗版更加困难,常会使用混淆工具对 JS 代码进行混淆.作为对立面,反混淆工具也可以将混淆过的 JS 代码进行还原.我曾经接触过双方的一些工具,下面是我的一些研究成果. 首先,下面这是我们的示例代码(取自Google C…

js混淆代码还原-js反混淆:利用js进行赋值实现   [不想用工具的直接看方法二] 本文地址:http://www.cnblogs.com/vnii/archive/2011/12/14/2287504.html 方法一:利用IE开发人员工具(IE8开始已经自带,IE7以前需要下载安装IE Developer Toolbar)进行反混淆,本人常用Chrome,但是没有找到利用Chrome自带的开发人员工具去实现反混淆的方法...希望哪位园友知道告知... 不罗嗦,直接上图 方法二:代码实现(p…

几种常见的JavaScript混淆和反混淆工具分析实战 xiaix2016-03-05+8共1195751人围观 ,发现 5 个不明物体WEB安全 信息安全常被描述成一场军备竞赛,白帽与黑帽,渗透测试者与黑客,善与恶,本文将聚焦这场永无止境决斗中的一个小点. HTML5 & JS 应用中充满着对输入进行验证/注入的问题,需要开发人员始终保持警惕.但同时还存在着另一个问题,就是应用中程序专用代码的易访问性.为了防止盗版或者至少使盗版更加困难,常会使用混淆工具对 JS 代码进行混淆.作为对立面,反混…

上次我们简单的入门下怎么使用html破解packed的混淆,下面看一个综合案例. 上次内容javascript反混淆之packed混淆(一) function getKey() { var aaaafun = function(p, a, c, k, e, d) { e = function(c) { return (c < a ? "": e(parseInt(c / a))) + ((c = c % a) > 35 ? String.fromCharCode(c + 2…

javascript反混淆之packed混淆(一) 什么是JavaScript反混淆,在理解这个概念前我们先来看下什么是代码混淆,代码混淆,是将计算机程序的代码,转换成一种功能上等价,但是难于阅读和理解的形式的行为.所以JavaScript反混淆就是为了破解这种难以理解的js代码的. 混淆有很多种格式目前我接触最多的就是packed混淆. 什么是packed混淆 我们首先我们来看一段代码 eval(function(p,a,c,k,e,d){e=function(c){return(c<a?&quo…

来源:https://cuiqingcai.com/5024.html 梳理这篇博客的时候出问题,我默认的是jscript作为pyexcJs的引擎,问题很大,大部分的js都无法加载,各种包用不了,只能处理及其低端的. 安装nodejs,环境变量配好后还是不行,cmd里可以就是引擎还是jscrapy,尝试卸载jscrapy发现比较难,官网不提供改选引擎的方法,陷入困境. 再之后修改安装选项: 之后还是不行,重启电脑后可以了. 本节来说明一下 JavaScript 加密逻辑分析并利用 Python…

译者序: OLLVM作为代码混淆的优秀开源项目,在国内主流app加固应用中也经常能看到它的身影,但是公开的分析研究资料寥寥.本文是Quarkslab团队技术博客中一篇关于反混淆的文章,对OLLVM项目中的控制流平坦化.虚假控制流.指令替换等混淆策略进行了针对性分析,并展示了利用符号执行对OLLVM混淆进行清理的一些思路和成果. 文章侧重于反混淆思路的讲解,并没有提供完整的代码方案,部分关键点也有所保留.文章末尾会提供编译好的测试程序(基于LLVM3.6.1),对OLLVM反混淆感兴趣的读者可以结…

出处:http://blog.csdn.net/u010019717 author:孙广东      时间:2015.3.17   23:00 我为什么要得到这个源代码.由于有洁癖! 对于Itween性能差,LeanTween 和 HOTween的 免费. 个人还是比較喜欢 Daikon Forge 出品的东西. 由于有我个人非常赞赏的 DFGUI 产品.确实非常好用! ! . DFTweenLite 是免费的. DFTweenPro是收费的. 功能上基本上不差啥. 免费没有源代码, Dll 还…

de4dot .NET deobfuscator and unpacker. Description de4dot is an open source (GPLv3) .NET deobfuscator and unpacker written in C#. It will try its best to restore a packed and obfuscated assembly to almost the original assembly. Most of the obfuscatio…

使用SmartAssembly\Dotfuscator等混淆后,反编译应用程序时如何破解? 一款非常NB的反混淆工具:de4dot(开源) Github地址:https://github.com/0xd4d/de4dot 也可以直接使用我已经编译后的包:https://files.cnblogs.com/files/kybs0/de4dot_netcoreapp3.0.zip 它支持非常非常多的混淆工具: Agile.NET (aka CliSecure) Babel.NET CodeFort…

最近有大量jar包需要反编译后使用,但是由于jar包中的类被混淆过了,直接反编译以后的里面所有的变量都是一个名字.所以这里介绍一个反混淆神器:CRF. 不知道是不是官网的链接:http://www.benf.org/other/cfr/ 我把这个神器上传到了站里,大家可以随意取用:https://files.cnblogs.com/files/somefuture/cfr-1.5.7z (站里不能上传Jar文件,所以我压缩了一下) 用法相当简单,这是一个可执行jar包,把要反编译的jar传为参数…

记录一次成功反混淆脱壳及抓包激活app全过程 前言 ​ 近期接到一个需求,要对公司之前开发的一款app进行脱壳.因为该app是两年前开发的,源代码文件已经丢失,只有加壳后的apk文件,近期要查看其中一项功能的源代码,因此需要尝试进行脱壳处理,反编译后发现该app是使用某数字公司的加壳工具进行混淆加壳的.此外,该app是给特定平板使用的,需要激活码进行激活才能使用,而原激活码服务器已经停止运行,只能通过抓包修改激活码服务器地址进行激活.该文档记录了我成功脱壳抓包的全过程. ​ 我尝试的Xposed…

0x00 摘要: 本系列文章通过对BurpLoader的几个版本的逆向分析,分析Burpsuite的破解原理,分析Burpsuite认证体系存在的安全漏洞. 0x01 JD-GUI的用途与缺陷: JD-GUI是一款从JAVA字节码中还原JAVA源代码的免费工具,一般情况下使用这款工具做JAVA逆向就足够了,但是由于其原理是从JAVA字节码中按照特定结构来还原对应的JAVA源代码,因此一旦字节码结构被打乱(比如说使用混淆器),那么JD-GUI就会失去它的作用,如图为使用JD-GUI打开Burpsu…

目前大多数攻击者已经将PowerShell 利用在了各种攻击场景中,如内网渗透,APT攻击甚至包括现在流行的勒索软件中.powershell的功能强大且调用方式十分灵活,灵活使用powershell可以更加方便的管理windows.   1. cmd启动powershell 首先看看powershel使用cmd.exe启动执行代码的方式: 1.1 常规方法 cmd.exe /c "powershell -c Write-Host SUCCESS -Fore Green" cmd.exe…

因为手头需要使用一个第三方类库,网络上又找不到它的可用的版本,于是只好自己动手.这个类库使用了Dotfuscator 加密,用.NET Reflector加载程序集, 看到的字符串是乱码,如下面的代码例子所示: internal class Program { // Methods private static void Main(string[] args) { int num2 = 4; try { List<string> expressionStack_51_0; string exp…

前言 在Windows下绕过杀毒软件的主动防御机制的常见思路. Bypass 1.特殊符号.大小写 常用符号: " ^ , ; 可以绕过一些常规的waf 2.环境变量 拿到一台机器时,可以先set查看环境变量 这里我们拿Comspec=C:\WINDOWS\system32\cmd.exe来举例,%comspec:~3,1%的意思就是comspec路径中的第三位(从0开始)开始取1个字符,如果1不写的话就从第三位输出到最后一位 环境变量也可以配合我们的特殊符号大小写混写来组合,也是可以达到同样的…

官网: http://www.de4dot.com/ 源码:https://github.com/brianhama/de4dot 使用方法 通过CMD命令方式进入: F:\2\de4dot-v3-1>de4dot 12306订票助手.exe 在对应目录下生成一个  12306订票助手-cleaned.exe 然后再采用 Reflector.exe 进行反编译. de4dot下载:http://files.cnblogs.com/files/nidongde/de4dot-v3-1.zip ne…

eval(string)函数 <script> eval(function(p, a, c, k, e, d) { p = 'function p(){console.log("p");};function a(){console.log("a");};'; d = function(){console.log("d");} return p; }({},{},{},{},{},{})) p();//p a();//a d();//n…