ConfuseEx的变种，求助识别壳类型

anywhereyang

可以从上图看到，
1、类名和方法名都是有混淆
2、字符串加密了\u0005\u2009\u2201.\u0002(749468163)解密得到字符串
3、函数调用走的代{过}{滤}理方式



这种壳有人见过吗，上面的混淆可以用de4dot处理，字符串解密也可以自己写代码还原。但是这个代{过}{滤}理调用则不行。因为比较复杂。
是从资源中访问某个加密的资源，然后再跳转，由于某些原因。样本无法上传，如果有人遇到过种壳的请指教一下

SoftCracker

1. 初步判断图2是代码虚拟化
2. 感觉不是ConfuserEx，具体需上传文件进一步判断
3. 为啥不直接截图，而是要拍照，难道你是手机发贴？

anywhereyang

SoftCracker 发表于 2020-10-21 16:58
1. 初步判断图2是代码虚拟化
2. 感觉不是ConfuserEx，具体需上传文件进一步判断
3. 为啥不直接截图，而是 ...

因为某些原因确实不是截图的，图2不是虚拟机，我确信，程序是从资源中解密一块内容，然后用流读出函数名和某些token的值，然后各种偏移读取，最后执行反射，他是中间的过程比较复杂，我调试了一部分，但没调出来，程序的话。这个不太好发上来，附件也不支持那么大的文件，有8M，有兴趣的话我私发给你

SoftCracker

>图2不是虚拟机，我确信
我不知道你所说的虚拟机是什么意思，估且认为跟我说的代码虚拟化(Code Virtualization)是同义词，估计你要被打脸了

>程序是从资源中解密一块内容，然后用流读出函数名和某些token的值，然后各种偏移读取.....
这段话为什么能证明不是虚拟化？我没看懂逻辑所在

即便没有文件，根据我的经验，我也可以大胆判断：这是Eazfuscator壳，并且启用了代码虚拟化

anywhereyang

SoftCracker 发表于 2020-10-22 16:51
>图2不是虚拟机，我确信
我不知道你所说的虚拟机是什么意思，估且认为跟我说的代码虚拟化(Code Virtualiza ...

代码虚拟化是怎么个搞法，，，我看他这个流程像是从资源中读出要执行的代码的一些关键信息，然后最后用反射调用，简单来说，本来是调用String.ToCharArray()这个函数，他是保这个函数名和类型信息（当然还有可能有参数）分别保存在资源中，用的时候读出来，最后反射调用，所以我不认为这是虚拟化，，

anywhereyang

SoftCracker 发表于 2020-10-22 16:51
>图2不是虚拟机，我确信
我不知道你所说的虚拟机是什么意思，估且认为跟我说的代码虚拟化(Code Virtualiza ...

方便的话加一个联系方式，谢谢