吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 3016|回复: 62
收起左侧

[求助] ConfuserEx脱壳出错?

[复制链接]
NuclearEngine 发表于 2020-4-3 19:25
DNSPY 参数如下/
/ 全局类型: <Module>
// 入口点: Form0.Main
// 架构: AnyCPU (64位优先)
// 运行库: .NET Framework 2.0
// 时间戳: 5E21635B (2020/1/17 星期五 15:33:47)

using System;
using System.Runtime.CompilerServices;

[module: SuppressIldasm
[module: ConfusedBy("ConfuserEx v1.0.0"


[~] Module Name: set.exe
[~] Module Size: 181 KB
[~] CLR Version: v2.0
[~] File queue: 1/1

[~] Detected: ConfuserEx v1.0.0


NoFuserEx报错

未经处理的异常:  System.Reflection.TargetInvocationException: 调用的目标发生了异常。 ---> System.InvalidProgramException: 公共语言运行时检测到无效的程序。
   在 ?????????????????????????????????????????()
   --- 内部异常堆栈跟踪的结尾 ---
   在 System.RuntimeMethodHandle.InvokeMethod(Object target, Object[] arguments, Signature sig, Boolean constructor)
   在 System.Reflection.RuntimeMethodInfo.UnsafeInvokeInternal(Object obj, Object[] parameters, Object[] arguments)
   在 System.Reflection.RuntimeMethodInfo.Invoke(Object obj, BindingFlags invokeAttr, Binder binder, Object[] parameters, CultureInfo culture)
   在 System.Reflection.MethodBase.Invoke(Object obj, Object[] parameters)
   在 NoFuserEx.Deobfuscator.Deobfuscators.ResourcesDeobfuscator.Deobfuscate(AssemblyManager assemblyManager) 位置 F:\UnConfuserEx\NoFuserEx-master\NoFuserEx-master\NoFuserEx\NoFuserEx\Deobfuscator\Deobfuscators\ResourcesDeobfuscator.cs:行 号 39
   在 NoFuserEx.Deobfuscator.DeobfuscatorManager.Start() 位置 F:\UnConfuserEx\NoFuserEx-master\NoFuserEx-master\NoFuserEx\NoFuserEx\Deobfuscator\DeobfuscatorManager.cs:行号 57
   在 NoFuserEx.Program.Main(String[] args) 位置 F:\UnConfuserEx\NoFuserEx-master\NoFuserEx-master\NoFuserEx\NoFuserEx\Program.cs:行号 28
kl.jpg
反编译码中无法找到koi
没有发现释放解密模块

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| NuclearEngine 发表于 2020-4-4 01:05
脱出来了
                Microsoft.VisualBasic.FileSystem.FileCopy(Application.StartupPath + "\\zy\\360安全浏览器.exe", folderPath + "\\360安全浏览器.exe");
                                }
                                else
                                {
                                        IL_B5:
                                        num2 = 10;
                                        if (Strings.InStr(@string, "Google Chrome", CompareMethod.Binary) > 0)
                                        {
                                                IL_C9:
                                                num2 = 11;
                                                num3++;
                                                IL_D1:
                                                num2 = 12;
                                                Microsoft.VisualBasic.FileSystem.FileCopy(Application.StartupPath + "\\zy\\Google Chrome.exe", folderPath + "\\Google Chrome.exe");
                                        }
                                        else
                                        {
                                                IL_F9:
                                                num2 = 14;
                                                if (Strings.InStr(@string, "2345加速浏览器", CompareMethod.Binary) > 0)
                                                {
                                                        IL_10D:
                                                        num2 = 15;
                                                        num3++;
                                                        IL_115:
                                                        num2 = 16;
                                                        Microsoft.VisualBasic.FileSystem.FileCopy(Application.StartupPath + "\\zy\\2345加速浏览器.exe", folderPath + "\\2345加速浏览器.exe");
                                                }
                                                else
                                                {
                                                        IL_13D:
                                                        num2 = 18;
                                                        if (Strings.InStr(@string, "360极速浏览器", CompareMethod.Binary) <= 0)
                                                        {
                                                                IL_154:
                                                                num2 = 22;
                                                                if (Strings.InStr(@string, "QQ浏览器", CompareMethod.Binary) > 0)
                                                                {
                                                                        IL_168:
                                                                        num2 = 23;
                                                                        num3++;
                                                                        IL_170:
                                                                        num2 = 24;
                                                                        Microsoft.VisualBasic.FileSystem.FileCopy(Application.StartupPath + "\\zy\\QQ浏览器.exe", folderPath + "\\QQ浏览器.exe");
                                                                }
                                                                else
                                                                {
                                                                        IL_195:
                                                                        num2 = 26;
                                                                        if (Strings.InStr(@string, "Firefox", CompareMethod.Binary) > 0)
                                                                        {
                                                                                IL_1A9:
                                                                                num2 = 27;
                                                                                num3++;
                                                                                IL_1B1:
                                                                                num2 = 28;
                                                                                Microsoft.VisualBasic.FileSystem.FileCopy(Application.StartupPath + "\\zy\\Firefox.exe", folderPath + "\\Firefox.exe");
                                                                        }
                                                                }
                                                        }
                                                        else
                                                        {
                                                                IL_1D6:
                                                                num2 = 19;
                                                                num3++;
                                                                IL_1DE:
                                                                num2 = 20;
                                                                Microsoft.VisualBasic.FileSystem.FileCopy(Application.StartupPath + "\\zy\\360极速浏览器.exe", folderPath + "\\360极速浏览器.exe");
                                                        }
                                                }
                                        }
                                }
                                IL_201:
                                num2 = 30;
                        }
                        if (enumerator != null)
这不是推广?
SoftCracker 发表于 2020-4-4 21:57
@周易 此switch非彼switch,我们脱壳后反编译效果差,那是因为VB.NET启用了On Error Resume Next的原因,并非ConfuserEx的混淆:
[C#] 纯文本查看 复制代码
Module Module1

    Sub Main()
        On Error Resume Next
        Console.WriteLine()
        Console.WriteLine()
        Console.WriteLine()
        Console.WriteLine()
        Console.WriteLine()
    End Sub

End Module


新建一个简单的VB.NET控制台程序,编译此代码,用dnSpy或ILSpy看,已经有大量goto了

你截图中的smethod_2函数,也是启用了On Error Resume Next的,但是我看你截图,把这种switch也清理掉了,很神奇啊,你用的什么工具?AI-Deobfucator?没听过啊
SoftCracker 发表于 2020-4-3 20:24
 楼主| NuclearEngine 发表于 2020-4-3 21:04

文件已上传至https://www.lanzouj.com/iayuexg
SoftCracker 发表于 2020-4-3 21:14
可以脱壳,但是很不幸,这个软件是VB.NET开发的,而且启用了 On Error Resume Next,即便没加壳,反编译效果也很差
image.png
 楼主| NuclearEngine 发表于 2020-4-3 21:18
SoftCracker 发表于 2020-4-3 21:14
可以脱壳,但是很不幸,这个软件是VB.NET开发的,而且启用了 On Error Resume Next,即便没加壳,反编译效 ...

哇,大佬是怎么跳过错误的?
 楼主| NuclearEngine 发表于 2020-4-3 21:20
这软件恶意推广,想看看怎么回事
艾莉希雅 发表于 2020-4-3 21:56
SoftCracker 发表于 2020-4-3 22:14
可以脱壳,但是很不幸,这个软件是VB.NET开发的,而且启用了 On Error Resume Next,即便没加壳,反编译效 ...

QQ截图20200403215556.jpg
挠头,不大对劲
 楼主| NuclearEngine 发表于 2020-4-3 21:59
所以哪位大佬能分析下noconfuserex为什么异常呢?
 楼主| NuclearEngine 发表于 2020-4-3 22:02
所以为什么noconfuserex会异常呢?
SoftCracker 发表于 2020-4-4 00:29
@艾莉希雅 你这个不对吧?try catch都没有?
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止回复与主题无关非技术内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-28 22:31

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表