.net Refector (native)脱壳很多字符混淆了

goodevanlee · 发表于 2024-3-11 11:16

最近想研究一个winform桌面程序，De查壳显示如下：只有PE头，通过ExeInfo 查壳显示：通过.net4dot 脱壳，好多加密字符串，脱壳显示 .net Refector (native) 没见过这个版本的。这个应该怎么脱呢？

老道 · 发表于 2024-3-11 12:25

NETReactorSlayer 尝试下！github上有 /SychicBoy/NETReactorSlayer

goodevanlee · 发表于 2024-3-11 13:31

老道发表于 2024-3-11 12:25
NETReactorSlayer 尝试下！github上有 /SychicBoy/NETReactorSlayer

尝试了也是混淆字符

justfly99 · 发表于 2024-3-11 14:33

goodevanlee 发表于 2024-3-11 13:31
尝试了也是混淆字符

先使用ExtremeDumper，dump出新的二进制文件，再用NETReactorSlayer。不过就算这样的话，如果有vmp也还是只能还原一部分

SoftCracker · 发表于 2024-3-11 20:33

文件在哪？

goodevanlee · 发表于 2024-3-12 16:02

SoftCracker 发表于 2024-3-11 20:33
文件在哪？

链接：https://pan.baidu.com/s/1fyKnBB4DvK69D1Jfis5l5g
提取码：2lf6

大佬想研究下程序代码写法

3yu3 · 发表于 2024-3-12 18:31

看了文件是深思的壳，5楼大佬能搞定。

SoftCracker · 发表于 2024-3-12 21:58

goodevanlee 发表于 2024-3-12 16:02
链接：https://pan.baidu.com/s/1fyKnBB4DvK69D1Jfis5l5g
提取码：2lf6

你是搞错文件了吗？你发的文件也没有native壳啊？
如果说一个查壳工具把virbox识别成.NET Reactor还可以理解，但我觉得几乎不可能有查壳工具把.NET文件识别成native，迷茫了

goodevanlee · 发表于 2024-3-13 10:45

SoftCracker 发表于 2024-3-12 21:58
你是搞错文件了吗？你发的文件也没有native壳啊？
如果说一个查壳工具把virbox识别成.NET Reactor还可以 ...

de4dot 识别成 .net Reactor (native) De 没识别出来哪个壳只有PE头，大佬你是怎么处理的？可以说下方法吗？

SoftCracker · 发表于 2024-4-5 00:55

goodevanlee 发表于 2024-3-13 10:45
de4dot 识别成 .net Reactor (native) De 没识别出来哪个壳只有PE头，大佬你是怎么处理的？可以说下 ...

我试了用de4dot，识别成Unknown，并不存在你说的识别成 .net Reactor (native) 的情况
你说了这种情况不可能吧？或者你把你用的工具发上来，我觉得不可能出现你说的这种情况

帐号		自动登录	找回密码
密码			注册[Register]

[求助] .net Refector (native)脱壳很多字符混淆了