首页 > 其他分享 >[.NET] ConfuserEx脱壳工具打包

[.NET] ConfuserEx脱壳工具打包

时间:2023-04-02 21:23:16浏览次数:51  
标签:脱壳 exe ConfuserEx de4dot vrdtoilmab strdec NET deobfuscated cex

[.NET] ConfuserEx脱壳工具打包

 ConfuserEx 1.0.0脱壳步骤
        Written by 今夕何夕[W.B.L.E. TeAm]

1.先用UnconfuserEx把主程序Dump出来;
2.使用CodeCracker大牛的ConfuserExStringDecryptor将加密的字符串解密;
3.使用CodeCracker大牛的ConfuserExSwitchKiller将混淆的switch分支结构解密;
4.若步骤3中解密导致程序崩溃,可以尝试ConfuserExUniversalControlFlowRemover这个工具,但是这个工具有bug,不是很推荐;
5.使用ConfuserExProxyCallFixer v2将混淆的函数名解析出来;
6.拖入de4dot去除其他混淆;
7.拖入dnspy应该能看到源码了。

 

资源链接参考

https://gist.github.com/Rottweiler/44fe4461a4552acf303a

 

实战

以炉石兄弟的2017年的最后版本为例

ConfuserExStringDecryptor.exe得到vrdtoilmab_strdec.exe

ConfuserExSwitchKiller.exe得到vrdtoilmab_strdec_deobfuscated.exe

ConfuserEx Proxy Call Fixer v2.exe得到vrdtoilmab_strdec_deobfuscated_noproxy.exe

de4dot处理得到   

de4dot v3.1.41592.3405 Copyright (C) 2011-2015 [email protected]
Latest version and source code: https://github.com/0xd4d/de4dot

Detected SmartAssembly 6.9.0.114 (C:\Program Files\de4dot-net35\vrdtoilmab_strdec_deobfuscated_noproxy.exe)
Cleaning C:\Program Files\de4dot-net35\vrdtoilmab_strdec_deobfuscated_noproxy.exe
WARNING: File 'C:\Program Files\de4dot-net35\vrdtoilmab_strdec_deobfuscated_noproxy.exe' contains XAML which isn't supported. Use --dont-rename.
Renaming all obfuscated symbols
Saving C:\Program Files\de4dot-net35\vrdtoilmab_strdec_deobfuscated_noproxy-cleaned.exe
ERROR:
ERROR:
ERROR:
ERROR: Hmmmm... something didn't work. Try the latest version.

 需要用一个特殊版本de4dot-Reactor5.0  https://ci.appveyor.com/project/ViRb3/de4dot-cex/build/artifacts?branch=master

de4dot v3.1.41592.3405 Copyright (C) 2011-2015 [email protected]
Latest version and source code: https://github.com/0xd4d/de4dot

More than one obfuscator detected:
ConfuserEx v0.5.0-custom (use: -p crx)
SmartAssembly 6.9.0.114 (use: -p sa)
Detected SmartAssembly 6.9.0.114 (C:\workspace\clu\Downloads\de4dot-cex\vrdtoilmab_strdec_deobfuscated_noproxy.exe)
Cleaning C:\workspace\clu\Downloads\de4dot-cex\vrdtoilmab_strdec_deobfuscated_noproxy.exe
WARNING: File 'C:\workspace\clu\Downloads\de4dot-cex\vrdtoilmab_strdec_deobfuscated_noproxy.exe' contains XAML which isn't supported. Use --dont-rename.
Renaming all obfuscated symbols
Saving C:\workspace\clu\Downloads\de4dot-cex\vrdtoilmab_strdec_deobfuscated_noproxy-cleaned.exe

 

 

尝试了一下de4dot-cex,貌似可以一步做完

de4dot v3.1.41592.3405 Copyright (C) 2011-2015 [email protected]
Latest version and source code: https://github.com/0xd4d/de4dot

More than one obfuscator detected:
ConfuserEx v0.5.0-custom (use: -p crx)
SmartAssembly 6.9.0.114 (use: -p sa)
Detected SmartAssembly 6.9.0.114 (C:\workspace\clu\Downloads\de4dot-cex\vrdtoilmab.exe)
Cleaning C:\workspace\clu\Downloads\de4dot-cex\vrdtoilmab.exe
WARNING: File 'C:\workspace\clu\Downloads\de4dot-cex\vrdtoilmab.exe' contains XAML which isn't supported. Use --dont-rename.
Renaming all obfuscated symbols
Saving C:\workspace\clu\Downloads\de4dot-cex\vrdtoilmab-cleaned.exe

 

标签:脱壳,exe,ConfuserEx,de4dot,vrdtoilmab,strdec,NET,deobfuscated,cex
From: https://www.cnblogs.com/lidabo/p/17281386.html

相关文章

  • 给大家推荐一个.Net的混淆防反编译工具ConfuserEx
    给大家推荐一个.Net的混淆防反编译工具ConfuserEx。由于项目中要用到.Net的混淆防反编译工具。在网上找了很多.Net混淆或混淆防反编译工具,如.NETReactor、Dotfuscator、Eazfuscator.NET、ConfuserEx。由于是WEB项目,所有使用其中的某些软件混淆DLL后不能使用,或使用的局限性较......
  • Kubernetes: manifest template
     apiVersion:v1Kind:podapiVersion:v1kind:Podmetadata:annotations:kubeadm.kubernetes.io/kube-apiserver.advertise-address.endpoint:192.168.8.11:6443kubernetes.io/config.hash:755e36554917832e5f2c40bbb2e580cblabels:component:k......
  • k8s kubernetes给node节点添加标签和删除node节点标签
    [root@k8s-master~]#hostname#查看节点名称k8s-master[root@k8s-master~]#[root@k8s-master~]#kubectlgetnodes--show-labels#查看节点标签NAMESTATUSROLESAGEVERSIONLABELSk8s-masterReadycontrol-plane9dv1.26.0......
  • .net6 制作elementplus离线文档
    1、新建net6项目设置配置信息<ProjectSdk="Microsoft.NET.Sdk.Web"><PropertyGroup><TargetFramework>net6.0</TargetFramework><Nullable>enable</Nullable><ImplicitUsings>enable</ImplicitUsings>......
  • AirNet使用笔记4
    1、DBM“航迹与计划相关配置”中“自动相关参数”:“相关最小权重值(含)”:最小就是二次代码,航班号,地址码全部算下来的,例如航班号一致6,二次代码不一致-3,24地址码一致,最终3,满足最小权重;“直接相关权重值(含)”:权重值(含)为12,指仅正值加起来满足12,就相关,不管负值(不同时的负值)。2、DBM“发布......
  • Onetable:统一的表格式元数据表示
    概括Onehouse客户现在可以将他们的Hudi表查询为ApacheIceberg和/或DeltaLake表,享受从云上查询引擎到顶级开源项目的原生性能优化。在数据平台需求层次结构的基础上,存在摄取、存储、管理和转换数据的基本需求。Onehouse提供这种基础数据基础架构作为服务,以在客户数据......
  • 冷知识:netty的Recycler对象池
    在netty中Recycler用来实现对象池,以达到对象的循环利用,它是netty实现的一个轻量级对象回收站,具体的实现有:堆内存对应PooledHeapByteBuf,而直接内存对应的是PooledDirectByteBuf。本文基于源码针对netty-4.1.27。对象池产生的背景创建大量对象实例的消耗不小,在之前初探对象的内存布局......
  • 动手深度学习 --mxnet中找不到np的问题
    命令:frommxnetimportnp背景:使用d2l中文版提供的环境文件错误信息:ImportErrorAppDataLocalTemp/ipykernel8504/2709868731.pyin<module>->lfrommxnetimportnpxImportError:cannotimportname'npx'from'mxnet'D:anacondaanacondalibsit......
  • Asp.Net Core 配置 Swagger
    1.Swagger版本控制1.1添加版本枚举类publicenumApiVersion{V1,V2,V3}1.2在启动类中添加Swagger的配置builder.Services.AddSwaggerGen(option=>{#region分版本的Swagger配置......
  • 计网学习笔记五 wireless && mobile networks
    老师把无线网络用一节课一遍过了…感觉没能学透,便课后自己总结,看书,找资料补充,把无线网络大概摸了个七七八八。虽然不算精细,但还能看!内容包括WLAN总概,WiFi—WLAN的实现,802.11规定的帧结构,以及蜂窝网络。强烈推荐一本书:《802.11WirelessNetworks:TheDefinitiveGuide》,2ndEd......