最新版本的De4dot-3.1.41592 .Net脱壳反(fǎn)混淆工(gōng)具(jù),这是一(yī)款开源的脱壳工具,因(yīn)为他的脱壳能力比较强,堪称为神器,它支持Dotfuscator、MaxToCode的脱壳。Net脱壳工具De4dot 这款工具可以奉为神器(qì)级工具(jù)。因为它的(de)脱壳能力的确(què)很(hěn)强,使用它(tā)可以成功地脱掉了(le)Dotfuscator、MaxToCode处(chù)理过(guò)的(de)程序。有兴趣的用(yòng)户可以下载(zǎi)使用。
De4Dot是一个开源的脱壳(ké)/反混淆工具,结(jié)识(shí)到神器工(gōng)具我要感谢论坛里的朋(péng)友wan,他在我(wǒ)的处女新手贴” [原创]新手破解.NET程序”中提到了这个工具,而这款工具被我奉(fèng)为了神器(qì)级工(gōng)具。因为它的脱壳能力的(de)确很强(qiáng),使用(yòng)它我成功地脱掉了Dotfuscator、MaxToCode处理过的(de)程序,至于(yú)其它的加壳/反混(hún)淆工具比如说Xenocode、ThemIDA等我(wǒ)还(hái)没有进行过实(shí)验,之(zhī)后我将计(jì)划研究各类加壳/反混淆工具的(de)脱壳方法,我深信(xìn)De4Dot能够给我带来巨大帮助。
伪随机列表会做的事情(qíng),它(tā)取决于(yú)什么混淆混淆组装:
内联方法。有些混淆器移动到另一个(gè)静态方法的方法,并调用它的一小部分(fèn)。
解密字符串的静(jìng)态(tài)或动态
解密(mì)等常量。有些混淆器(qì)也可以加密其他常数,如(rú)整数,双打(dǎ)等
解密方法静(jìng)态或(huò)动态
删(shān)除代理方法。许多混(hún)淆(xiáo)器取代大多数/所(suǒ)有调用指令调(diào)用委托(tuō)。此委托(tuō)依次调用(yòng)真正的方(fāng)法(fǎ)。
重命名(míng)符号。尽管大多数符号不(bú)能恢复,将它(tā)们重(chóng)命名为人类可(kě)读的字(zì)符串。有时,一(yī)些(xiē)原来的名(míng)称(chēng)可以被恢复(fù),虽然。
Devirtualize虚(xū)拟化代(dài)码
解(jiě)密(mì)资(zī)源。许多混淆器有一个选项来(lái)加密.NET资源。
解密嵌(qiàn)入的文件。许多混淆器有一个(gè)嵌(qiàn)入,可能加密(mì)/压(yā)缩(suō)其他组件的选项。
删除篡改检测代码
删除反调试代码
控制流反(fǎn)混淆。许多混淆器修改IL代码,所以(yǐ)它(tā)看起(qǐ)来像意大利(lì)面(miàn)条式的代码很难理解代码。
还原类(lèi)字段。有(yǒu)些(xiē)混淆器可以移动领(lǐng)域从一个类来创建类其他一些混淆。
PE EXE转换.NET exe文件。有些模糊处(chù)理(lǐ)一个Win32 PE等包(bāo)装(zhuāng).NET程序(xù)集里面的.NET反编译器无法读取该文件(jiàn)。
移(yí)除大多数/所(suǒ)有的垃(lā)圾类添加混淆(xiáo)。
修(xiū)复了一些的peverify错误。许多混(hún)淆器是马(mǎ)车和创建无法验证的代(dài)码错误。
还(hái)原类型的(de)方法(fǎ)的参(cān)数(shù)和字(zì)段
CliSecure
Crypto Obfuscator
Dotfuscator
.NET Reactor 4.x
Eazfuscator.NET
SmartAssembly 4.x-6.x
Xenocode
第一(yī)种,是硬(yìng)脱壳,这是指找(zhǎo)出加壳软件的加壳算(suàn)法,写出逆(nì)向算(suàn)法,就像(xiàng)压缩(suō)和解(jiě)压缩一样。由(yóu)于现在的壳有加密、变(biàn)形(xíng)、虚拟环境(jìng)等等特点,每次加壳生成的代码都不一样。硬脱壳对此无能(néng)为力,
第二(èr)种,是(shì)动态脱壳。加壳的(de)程序运行时必须还原成原始(shǐ)形(xíng)态,就是加壳程序运(yùn)行后必须进行解压到程(chéng)序的(de)文件头。所以我们可以用OD跟踪到OEP的原因(yīn)。这个时候我(wǒ)们就可以抓(zhuā)取(Dump)内存中(zhōng)的镜像(xiàng),再重构成标准的执行(háng)文件。这样我们就脱壳了。
