一个简单的.NET程序的脱壳以及破解
前几天有朋友问.NET程序的破解,又鉴于论坛里关于.NET脱壳和破解的文章也不多,于是抽空写一个。由于本人也很少接触.NET的程序,因此文章没什么技术含量,用到的技术也是在网上很早就公开的东西。有什么错误还请多多指教。
本文的目标文件是一个非常简单的CrackMe.
本CrackMe的任务有4个:
1. 脱壳
2. 去NAG
3. 去灰按钮
4. 破解
OK,一个一个来完成任务吧。
一、 脱壳
查壳发现为:
按照经验,此程序应该是用.NET Reactor加的壳
下面来脱壳吧
根据前人经验,此壳其实只是在简单的混淆,在运行的同时,在内存中会释放原程序的镜像
根据这一特点,我们下断点:BP WriteProcessMemory,然后F9运行,中断下来
中断下来看堆栈
写入的地址为:17B1050
在数据窗口查看,然后拉到最顶端
可以发现,PE头在017B0000
于是可以dump此地址的镜像。
当然,此时dump下来的程序不行,因为还有好多内容没写入。于是,不断SHIFT+F9,直到程序运行。
这时候就可以dump了.
用LordPE,区域转存017B0000这个区段,保存为就OK了.
不过,此时dump后,程序是无法运行的。
我们还得再用CFF修正几个量
(1).选Nt Headers,再File Header,然后选Characteristics,再点旁边的Click here,在出现的对话框中,去掉“File is a DLL”就OK了。
(2)修正MetaData RVA和MetaData Size的值
MetaData RVA值的获得可以用2种方法
第一种:原程序中,下完BP WriteProcessMemory,F9运行,第一次中断的时候就dump这个区段,此时的MetaData RVA是正确的。
在CFF中,选.NET Directory,看MetaData RVA的值,并记录:
记录这个值为A400,然后在中同样修正这个值为A400
第二种:参考老K的文章
CFF中,选Address Converter,然后搜索字符“BSJB”
搜索到偏移地址为:9400
接着就换算成RVA的值:
换算结果同样为A400
下面接着来计算MetaData Size的值
选Optional Header,接着点Data Directories [x],然后看Import Directory RVA 的值
记下值为BD4C
所以,
MetaData Size=BD4C-A400=194C
故把MetaData Size的值修正为194C
最后,把修改完的程序保存,就OK了,程序可以正常运行了。
脱壳就到此结束了,再用PEiD查下,已经无壳了
另外一种抓取镜像文件的方法如下(参考老K文章):
首先运行下原程序,继续下标题为:Sample Crackme
OD载入程序,接着F9运行程序,然后ALT+M打开内存镜像,CTRL+B,在搜索UNICODE字符串“Sample Crackme”
大约搜索2次后,就来到下面的地方:
拉到最上端
然后就选备份,保存数据文件,扩展名改为.exe就行
reactor debug mode is enabled后续的操作同上
二、 去NAG
运行程序可以发现,此程序有个讨厌的NAG,并且作者也要求我们去掉
分析.NET程序常用的工具为:ildasm2.0,Reflector,xenocode fox
我这里就用xenocode fox这个了,因为这个工具可以查看地址
当然,默认的选项可能没显示地址,我们可以自己手动改下设置
在设置中,选DeCompiler这个选项卡,然后勾上“Show method body address”前面的勾就OK了
在语言(Language)选项中,我们先为了分析方便,可以选C#语言,当然你也可以选其他的
OK,下面就关键地方吧,这个没什么好说的,靠自己去寻。
很明显了吧,这个地方就是显示NAG窗口的代码。
下面就修改这个代码吧,思路就是,在此代码段的头,直接ret,这样,就可以避免产生NAG窗口了。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。