最新版本的De4dot-3.1.41592 .Net脱壳反混淆工具,这是一款开源的脱壳工具,因为他的脱壳能力比较强,堪称为神器,它支持Dotfuscator、MaxToCode的脱壳。Net脱壳工具De4dot 这款工具可以奉为神器级工具。因为它的脱壳能力的确很强,使用它可以成功地脱掉了Dotfuscator、MaxToCode处理过的程序。有兴趣的用户可以下载使用。
De4Dot是一个开源的脱壳/反混淆工具,结识到神器工具我要感谢论坛里的朋友wan,他在我的处女新手贴” [原创]新手破解.NET程序”中提到了这个工具,而这款工具被我奉为了神器级工具。因为它的脱壳能力的确很强,使用它我成功地脱掉了Dotfuscator、MaxToCode处理过的程序,至于其它的加壳/反混淆工具比如说Xenocode、ThemIDA等我还没有进行过实验,之后我将计划研究各类加壳/反混淆工具的脱壳方法,我深信De4Dot能够给我带来巨大帮助。
伪随机列表会做的事情,它取决于什么混淆混淆组装:
内联方法。有些混淆器移动到另一个静态方法的方法,并调用它的一小部分。
解密字符串的静态或动态
解密等常量。有些混淆器也可以加密其他常数,如整数,双打等
解密方法静态或动态
删除代理方法。许多混淆器取代大多数/所有调用指令调用委托。此委托依次调用真正的方法。
重命名符号。尽管大多数符号不能恢复,将它们重命名为人类可读的字符串。有时,一些原来的名称可以被恢复,虽然。
Devirtualize虚拟化代码
解密资源。许多混淆器有一个选项来加密.NET资源。
解密嵌入的文件。许多混淆器有一个嵌入,可能加密/压缩其他组件的选项。
删除篡改检测代码
删除反调试代码
控制流反混淆。许多混淆器修改IL代码,所以它看起来像意大利面条式的代码很难理解代码。
还原类字段。有些混淆器可以移动领域从一个类来创建类其他一些混淆。
PE EXE转换.NET exe文件。有些模糊处理一个Win32 PE等包装.NET程序集里面的.NET反编译器无法读取该文件。
移除大多数/所有的垃圾类添加混淆。
修复了一些的peverify错误。许多混淆器是马车和创建无法验证的代码错误。
还原类型的方法的参数和字段
CliSecure
Crypto Obfuscator
Dotfuscator
.NET Reactor 4.x
Eazfuscator.NET
SmartAssembly 4.x-6.x
Xenocode
第一种,是硬脱壳,这是指找出加壳软件的加壳算法,写出逆向算法,就像压缩和解压缩一样。由于现在的壳有加密、变形、虚拟环境等等特点,每次加壳生成的代码都不一样。硬脱壳对此无能为力,
第二种,是动态脱壳。加壳的程序运行时必须还原成原始形态,就是加壳程序运行后必须进行解压到程序的文件头。所以我们可以用OD跟踪到OEP的原因。这个时候我们就可以抓取(Dump)内存中的镜像,再重构成标准的执行文件。这样我们就脱壳了。
