今天要讲的内容加入了"壳",在这里我推荐新手尽量使用脱壳机进行脱壳。
壳在这里读 ke,二声。晚上冒着生命危险在群里请教了一下,因原单词为 shell,所以 ke 的读法是正确的。
在你们吐槽之前,我要提前解释一下为什么推荐使用脱壳机。
既然是新手,既然是菜鸟,就要利用工具的便利,手动脱壳确实需要学习,但不是现在,现在最重要的是“兴趣”!
有些人要说了"新手就要先学手动脱壳!"
那我想说"难道脱壳机是给高手用的?高手需要脱壳机吗?"
先知道了壳是怎么回事,知道有壳与无壳的区别后,慢慢的深入手动脱壳。
今天用到的工具是我写的,内容很简单,就是一个注册工具,用户名与注册码不匹配就会注册失败,如果匹配就会成功。
我们可以利用第一课与第二课的知识进行爆破与获取注册码。但这个程序有壳……
我们先介绍一下有壳的东西用 dnSpy 载入后是什么样的,
大家请看下图,入口点、命名空间和代码逻辑出现各种随机命名,大大降低了程序的可读性……这就是有壳的程序。
我们利用 DIE 进行查壳,看看他是什么壳,将要查壳的软件拖入 DIE 即可。(正式逆向的第一步:查壳)
注:关于查壳,我后续会补充一课 "使用 Detect it Easy 软件查壳",稿子已经在写了,素材不好找。
我们可以看到下图显示这个程序是 .NET Reactor(4.8-4.9) 的壳。
加壳是为了增加逆向的难度,在不影响软件运行的情况下,混淆代码逻辑,降低了代码可读性。
而 de4dot 则是一个开源的 .Net反混淆脱壳工具,支持一键脱去:
- Xenocode(双层失效)
- .NET Reactor(新版失效)
- MaxtoCode(新版失效)
- Eazfuscator.NET(新版失效)
- Agile.NET(新版失效)
- Phoenix Protector
- Manco Obfuscator
- CodeWall
- NetZ .NET Packer
- Rpx .NET Packer
- Mpress .NET Packer
- ExePack .NET Packer
- Sixxpack .NET Packer
- Rummage Obfuscator
- Obfusasm Obfuscator(新版失效)
- Confuser 1.7
- Babel.NET
- CodeFort
- CodeVeil
- CodeWall
- CryptoObfuscator(新版失效)
- DeepSea Obfuscator
- Dotfuscator
- Goliath.NET
- ILProtector(新版失效)
- MPRESS
- Rummage
- SmartAssembly(新版失效)
- Skater.NET
- Spices.Net
等常见的壳。
注:上面在我遇到过的几个类型的壳里加了备注,即遇到最新版的对应壳时,de4dot 是无法脱壳的,需要手动脱壳(复杂情况需要自己动手编写脱壳机)。不在上述列表中的壳,de4dot 也不支持。所以de4dot 现在就是用来学习 + 脱简单壳的,新手遇到脱不掉的直接放弃就行,不要多纠结。
按住鼠标左键,将我们要脱壳的程序直接拖到 de4dot.exe 上
如下图,脱壳后的软件和要脱壳的软件存放在同一个目录,de4dot 对文件名增加上了 -cleaned 用来与原程序区分:
将脱壳后的软件用 dnSpy 打开,可以看到入口点等已经被解密出来了。
作业内容有两个:
1,爆破它,用户名与注册码不匹配也能注册成功!
2,获取注册码!
说明:基础逆向教程,不涉及强壳、非托管壳等。本案例中程序我仅使用 .NET Reactor 对 Anti ILDASM 和 Obfuscation 做了基础保护。
课件下载:
关注微信公众号:大学生的电脑课
回复关键词:.NET零基础逆向
相关文章
