首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
[求助]MaxToCode的壳脱不了啊
发表于: 2013-8-22 14:23 16754

[求助]MaxToCode的壳脱不了啊

ygcumt 活跃值
2013-8-22 14:23
16754
Dll用hildasm.exe打开,类函数为空,类的下面有个InfaceMaxToCode
这种情况应该是MaxToCode加壳吧?
用de4dot v2.03处理,显示如下错误
D:\D>de4dot -r d:\d\2\ -ro d:\d\2

de4dot v2.0.3.3405 Copyright (C) 2011-2013 de4dot@gmail.com

Latest version and source code: 109K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6T1K9i4c8T1N6h3y4C8k6i4c8Q4x3X3g2G2M7X3N6Q4x3V1j5H3P5r3b7@1k6q4)9J5c8X3c8W2y4r3c8G2N6l9`.`.

Detected MaxtoCode (d:\d\2\2.dll)

Cleaning d:\d\2\2.dll

ERROR:

ERROR:

ERROR:

ERROR: Hmmmm... something didn't work. Try the latest version.

ERROR:     EX: System.ArgumentException : message: 源数组长度不足。请检查 srcInd

ex 和长度以及数组的下限。

ERROR: If it's a supported obfuscator, it could be a bug or a new obfuscator ver

sion.

ERROR: If it's an unsupported obfuscator, make sure the methods are decrypted!

ERROR: Send bug reports to de4dot@gmail.com or go to 4abK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6T1K9i4c8T1N6h3y4C8k6i4c8Q4x3X3g2G2M7X3N6Q4x3V1j5H3P5r3b7@1k6l9`.`.

/de4dot/issues

ERROR: I will need the original files, so email me a link to the installer or a

zip/rar file.

尝试用RE-MaxV3.40来脱壳,选择Attick.dll后,选中需要解密的dll,出现错误“unkown*****”(*是原文如此)
请高手帮忙指点下,看看怎么解决。

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (12)
wzhfp
雪    币: 40
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
只能帮你顶顶,我也不会。
2013-8-22 17:32
0
licthday
雪    币: 77
活跃值: (233)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
3
好久没弄了,我记得用工具的话,dotPeek 可以看,修改版的 ildasm,ilspy,好像是这些可以,手工的话,多研究研究吧。god bless you
2013-8-23 12:45
0
ygcumt
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
非常感谢您,我试试。
2013-8-24 14:18
0
ygcumt
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
感谢支持。
2013-8-24 14:28
0
kanxue
雪    币: 58782
活跃值: (21926)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
私信
6
帖子移脱壳版讨论
2013-8-25 21:20
0
ygcumt
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
感谢licthday,用dotPeek可以看到Dll的内部结构了,依然没有找到比较好的脱壳工具,请求大家继续帮忙。
2013-8-26 11:24
0
ygcumt
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
请大家看看,这是MaxtoCode哪个版本生成的代码?

public class InfaceMaxtoCode
{
    // Fields
    private static IntPtr AppImageBase;
    private static int ImportRuntimeSize;
    private static bool started;

    // Methods
    static InfaceMaxtoCode();
    public InfaceMaxtoCode();
    private static string ByteToString(byte[] inbuf);
    private static string ByteToString(byte[] inbuf, int Index, int Count);
    [DllImport("WinX32.dll", CharSet=CharSet.Unicode, SetLastError=true, ExactSpelling=true)]
    private static extern int CheckRuntime(IntPtr ImageBase);
    [DllImport("WinX3264.dll", EntryPoint="CheckRuntime", CharSet=CharSet.Unicode, SetLastError=true, ExactSpelling=true)]
    private static extern int CheckRuntime64(IntPtr ImageBase);
    [DllImport("WinX32.dll", CharSet=CharSet.Ansi, SetLastError=true, ExactSpelling=true)]
    private static extern IntPtr EncryptString(IntPtr ImageBase, int Stringid);
    [DllImport("WinX3264.dll", EntryPoint="EncryptString", CharSet=CharSet.Ansi, SetLastError=true, ExactSpelling=true)]
    private static extern IntPtr EncryptString64(IntPtr ImageBase, int Stringid);
    [DllImport("WinX32.dll", CharSet=CharSet.Ansi, SetLastError=true, ExactSpelling=true)]
    private static extern IntPtr GetModuleBase(string lpModuleName);
    [DllImport("WinX3264.dll", EntryPoint="GetModuleBase", CharSet=CharSet.Ansi, SetLastError=true, ExactSpelling=true)]
    private static extern IntPtr GetModuleBase64(string lpModuleName);
    [DllImport("KERNEL32.DLL", EntryPoint="GetModuleHandleA", CharSet=CharSet.Ansi, SetLastError=true, ExactSpelling=true)]
    private static extern IntPtr GetModuleHandle(string lpModuleName);
    private static string GetRuntimeName();
    public static string GetString(uint stringid);
    private static bool ImportRuntime(string bpath);
    private static void LicenseHelper();
    private static void LoadRuntimes();
    [DllImport("WinX32.dll", CharSet=CharSet.Ansi, SetLastError=true, ExactSpelling=true)]
    private static extern bool MainDLL(IntPtr RuntimeBase, IntPtr AppBase);
    [DllImport("WinX3264.dll", EntryPoint="MainDLL", CharSet=CharSet.Ansi, SetLastError=true, ExactSpelling=true)]
    private static extern bool MainDLL64(IntPtr RuntimeBase, IntPtr AppBase);
    [DllImport("KERNEL32.DLL", EntryPoint="SetEnvironmentVariableA", CharSet=CharSet.Ansi, SetLastError=true, ExactSpelling=true)]
    private static extern bool SetEnvironmentVariable(string lpName, string lpValue);
    public static void Startup();

    // Nested Types
    internal interface InfaceMaxtoCode_interface
    {
    }

    public enum MachineClass
    {
        UNKNOW,
        X86,
        AMD64,
        IA64
    }
}
2013-8-27 16:08
0
hc3w
雪    币: 228
活跃值: (134)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
基本上判断是 maxcode 3.7.5  pro版 。现在也在研究。
2013-8-28 19:48
0
ygcumt
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
你好,留个联系方式吧,我的QQ5151217
2013-8-28 23:09
0
ygcumt
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
11
还有没有研究MaxtoCode或de4dot的人啊,一起探讨探讨啊
2013-8-30 22:32
0
haiguaiyf
雪    币: 71
活跃值: (326)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
12
新版本的动态连接库加了VMP壳.研究....麻烦,不过如果是破解的话方法还是有的
2013-9-2 00:11
0
ygcumt
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
13
是的,你认为先将运行时的vmp的壳脱壳,再通过运行时的startup调用maxtocode加密的dll,这种思路可行吗?
2013-9-3 21:23
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回