吾爱破解 - LCG - LSG |安卓破解|病毒分析|破解软件|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

领取今日签到奖励
查看: 1222|回复: 23

[原创] .NetReactor 3.6——体验另类的脱壳法

[复制链接]
发表于 2019-3-12 19:12
本帖最后由 鬼手56 于 2019-3-12 20:01 编辑

前言

最近一直在看脱壳的相关资料,看到了Tuts4you社区脱壳脚本的教程,这个壳我感觉很不错挺有意思的,于是打算将内容整理下分享出来。

查壳

这个壳是.NetReactor 3.6.0.0的版本。根据作者的介绍,这个壳只是一个包装器,它包装目标程序,然后将其全部解包到内存中执行。但是这是一种不安全的方法,因为有人可以将内存中的目标程序转储回文件并完全恢复程序集。这个壳的重点在于转储之后的修复,需要对PE文件有一定的了解。

脱壳

接下来直接载入OD,F9让程序运行起来。

接着调出内存窗口,为了锁定目标程序被解压的位置,因为这个crackme实际上也是作者写的,所以选择通过搜索关键字符串的方法,搜索Crackme

搜索到关键字符串之后向上滚动,查找PE文件,如果找到了说明这里就是目标文件解压缩的地方。

经过搜索和寻找,我们在第六次搜索结果中找到了要找的PE文件。

接着右键->备份->保存数据到文件。

选择保存类型为任何文件,并修改后缀名为exe。

接着测试运行一下,弹出一个错误框,无法在电脑上运行。这很正常,因为直接dump下来的文件在PE头总是会出现问题。因为我是在本机上跑的,如果是W7的话应该是显示不是有效的W32程序。

修复目标程序

接下来用CFF Explorer这款PE工具来修复一下目标程序。

载入目标程序,点击Header部分,错误提示为Out of memory。

接下来进入到Driectory部分,修复MetaData Header的错误。我们需要修复这个错误的RVA和Size,Size明显是错的,太小了。

接着来到Address Converter部分,点击这个放大镜,查找字符串BSJB。至于为什么搜索这么一串字符串,作者给出的解释是这个字符串的Offset就是要修复的Meta Data的Offset。(我也是一脸蒙蔽 这解释有点太勉强了吧)

接着点击查找,找到了0x9400这个地址,那么Meta Data的Offset就是0x9400。

接着把9400输入到Offset中,会自动计算出我们要的RVA是0xA400。

回到Directoy部分,将正确的RVA填入。至于Size我们可以根据一个公式计算得出:MetaDataSize=Import Directory RVA-MetaDataRVA,Import Directory RVA的值如下图:

最后算出Size为0x194C。

接着修改回正确的RVA,然后点击保存。

接着再次双击测试运行,还是无法运行。这里作者的原话是根据我之前的经验,我应该是忘记修改文件头属性了。

不得不感叹大神的经验就是强大。好吧 继续修复

点击文件头 找到Characteristics,双击

属性显示这是一个DLL,难怪会报错。把勾去掉,再次保存。

OK 程序完美运行,这个壳也算是脱完了。
最后附上相关文件 也可以到我的Github下载
Github:https://github.com/TonyChen56/Unpack-Practice
CSDN:https://blog.csdn.net/qq_38474570/article/details/88426831

NetReactor 3.6.0.0.rar

238.58 KB, 下载次数: 16, 下载积分: 吾爱币 -1 CB

相关文件

免费评分

参与人数 6威望 +1 吾爱币 +12 热心值 +6 收起 理由
howsk + 1 + 1 用心讨论,共获提升!
王么 + 1 + 1 谢谢@Thanks!
wwh1004 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
Hmily + 1 + 7 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
朱朱你堕落了 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
笙若 + 1 + 1 谢谢@Thanks!

查看全部评分

本帖被以下淘专辑推荐:

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

发表于 2019-3-13 22:19
朱朱你堕落了 发表于 2019-3-12 23:12
问下楼主,你贴子中的方法,对于NetReactor 4.x的管用吗?套路是否一样...

这种是对付.NET Reactor的Native EXE File功能的,就是把程序集打包到一个非托管的程序里,全版本通用。文章中要修复rva应该是没把内存格式的PEImage转换回文件格式。

免费评分

参与人数 1吾爱币 +3 热心值 +1 收起 理由
朱朱你堕落了 + 3 + 1 谢谢@Thanks!

查看全部评分

 楼主| 发表于 2019-3-12 20:17
哈哈哈 终于好了 被CSDN给坑了呢 本来以为可以直接复制粘贴过来  没想到图片全挂
发表于 2019-3-12 19:26
发表于 2019-3-12 19:27
在这里输入图片描述??
发表于 2019-3-12 19:30
图片全挂了!!!!
发表于 2019-3-12 19:36
楼主可能要重新编辑一下,图片全看不到
发表于 2019-3-12 20:28
感谢楼主,学习了
发表于 2019-3-12 20:39
学习了,非常感谢
发表于 2019-3-12 21:47
这个方法很早就发出来了,你这只算照搬了一次。
发表于 2019-3-12 23:12
问下楼主,你贴子中的方法,对于NetReactor 4.x的管用吗?套路是否一样...
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则


免责声明:
吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:Service@52PoJie.Cn

快速回复 收藏帖子 返回列表 搜索

RSS订阅|手机版|小黑屋|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2019-3-23 02:39

Powered by Discuz!

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表