請問大神.NET查殼工具都有哪些?
已知的有DotNet Id 除了這個還有別的嗎?脫MAXTOCODE發現是雙殼。脫掉第一層還有一層,DotNet Id檢測沒殼了,但是反編譯還是加密狀態.
用PEiD查殼,用OD脫殼
ScanID算不算?
https://hintdesk.com/2007/11/09/net-id/ DotNet Id 再也不支持了
幫忙看看這個.net加密的是什么殼,查不出來
.NET Reactor混淆,用de4dot反混淆
.net軟件用ScanId來查
一個用.net寫的搶購軟件,加殼了
首先確定是.net寫的,需要4.0框架,用DotNet Id.exe查殼
然后用de4dot-v3.1.41592.3405脫殼
脫不了
然后用dnSpy查看
雙殼 themida/WinLicense + NetReactor
脫殼很簡單了。關鍵是Dump.
你的賤手足夠快之外,還要有點小竊門。
Dump后,直接De4dot。清爽無比。
[PEtools] 【搬運】Protection ID多功能查殼工具
Protection ID 是一款國外的多功能查殼工具軟件,其主要功能就是可以用來掃描程序查看是否加殼以及PE信息、掃描加密光盤等功能。
Protection ID功能
- -PC游戲應用程序保護檢測
- -目前涵蓋573項檢測,其中包括Win32位/64位程序的文件保護和殼以及.NET、加密狗等
- -掃描加密CD/DVD光盤
- -支持拖放
- -強大的掃描引擎可以檢測多個保護
- -支持資源管理器菜單
- -額外的工具擴展
- -完全兼容32位和64位
總結
PEiD https://www.aldeid.com/wiki/PEiD
https://www.softpedia.com/get/Programming/Packers-Crypters-Protectors/PEiD-updated.shtml
PEiD(PE Identifier)是一款著名的查殼工具,其功能強大,幾乎可以偵測出所有的殼,其數量已超過470 種PE 文檔 的加殼類型和簽名。
Decompling .net assembly
There are many .Net code protection alternative, that obfuscate the IL codes so that they are not that much exposed to IL disassembler application.
- .Net Reactor
- Themida
- SmartAssembly
- the list is huge . . .
many of the protector modify the Exe (PE Header info), .Net exe contains some extra MetaData that helps disassembler to identify it.
Download this little application it may tell you a little more about the exe.
Download PEiD 0.95
PEiD is an intuitive application that relies on its user-friendly interface to detect packers, cryptors and compilers found in PE executable files – its detection rate is higher than that of other similar tools since the app packs more than 600 different signatures in PE files.
PEiD comes with three different scanning methods, each suitable for a distinct purpose. The Normal one scans the user-specified PE file at its Entry Point for all its included signatures. The so-called Deep Mode comes with increased detection ratio since it scans the file's Entry Point containing section, whereas the Hardcore mode scans the entire file for all the documented signatures.
My best guess the assembly you are looking for is Protected by .Net Reactor or Themida
[.NET] ScanId .Net下混淆識別器
.Net-Reverse-Engineering
https://github.com/blacksourcez/.Net-Reverse-Engineering
待破解的是【.NET】UnpackMe!Shielden+DNGuard,雙層變異殼
【.NET】UnpackMe!Shielden+DNGuard,雙層變異殼 - 脫殼詳解
文中所有工具列表:
1. CFF: http://www.ntcore.com/exsuite.php
2. Universal Fixer :http://www.52pojie.cn/thread-82492-1-1.html
3. DNGuard HVM Unpacker。http://www.52pojie.cn/thread-320711-1-2.html
4. ILDASM/ILASM 微軟VS2010以上版本自帶 DOTNET4.0的反編譯/編譯工具。
5. Donet Dumper, 亂碼及入口點修復工具(本人作品),脫殼后的文件: <ignore_js_op>
Tools.rar
讓程序跑起來后,我們准備在內存抓,其實這樣的工具有很多,使用起來都大同小異,比如上一篇文章中我說的Task Explorer,還有WinHex也是可以的。今天我再推薦一款DOTNET專用的工具,因為我發現這個工具自帶一定的修復功能。
那就是DOTNET Dumper,其實吾愛論壇上也有http://www.52pojie.cn/thread-67257-1-1.html, 但是這個版本脫殼時會報錯,其版本號是1.0.3936.41928。 我手上的是版本1.0.3938.31576,可以順利脫殼,可以在附件中下載。其實用什么工具都是一樣的,不過如果用Task Explorer需要自己再多修復些東西。
找到進程,然后點擊右鍵Dump。
貌似騰訊雲山寨了這篇文章,可以看https://cloud.tencent.com/developer/article/1088093 吾愛破解這個站點被和諧了
HearthBuddy的淘寶版本,
文件夾下有HVMRuntm.dll
這是dnguard軟件對原軟件進行混淆后產生的dll文件,防止軟件被反編譯。
丟到de4dot工具里面看一下,雖然檢查出了加殼的工具,但是無法處理
Detected DNGuard HVM (not supported) (C:\Program Files\de4dot-net35\Hearthbuddy.exe)
Cleaning C:\Program Files\de4dot-net35\Hearthbuddy.exe
WARNING: File 'C:\Program Files\de4dot-net35\Hearthbuddy.exe' contains XAML which isn't supported. Use --dont-rename.
Renaming all obfuscated symbols
Saving C:\Program Files\de4dot-net35\Hearthbuddy-cleaned.exe
ERROR:
ERROR:
ERROR:
ERROR: Hmmmm... something didn't work. Try the latest version.