大家好！目前我遇到一个.Net程序，采用了.Net Reactor加壳混淆的，直接用反编译工具会提示不是.Net程序，查壳的话有的查壳工具显示4.5-4.7，有的显示4.8，具体版本不明，我猜可能是做了版本混淆，有可能最新5.0版的。各个查壳工具查下来的结果请见附件的图片。

首先，我尝试使用de4net脱壳，下载了无数的版本，包括wushensoft支持5.0的那个版本，采取拖放方式都不成功，加上-p dr3或者-p dr4参数之后，有两个显示脱成功了，但实际上脱完之后都没办法运行了，用Net Reflector打开之后可以看到代码，但貌似不完全也不正确，以乱码居多。

其次，通过外网搜索，找到tuts4you.com上的24aK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6X3L8%4u0#2L8g2)9J5k6i4c8#2N6s2x3@1P5h3!0#2i4K6u0W2j5$3!0E0i4K6u0r3N6r3!0H3K9h3y4Q4x3V1j5K6y4U0f1^5y4#2)9J5k6r3y4J5j5h3y4C8L8h3g2F1k6i4c8Q4x3X3c8J5k6h3q4U0N6r3!0J5i4K6u0V1L8h3!0V1k6r3g2V1i4K6u0r3i4@1f1^5i4@1u0r3i4K6V1&6i4@1f1@1i4@1t1^5i4@1q4m8i4@1f1#2i4@1t1^5i4K6V1$3i4@1f1#2i4@1q4p5i4K6V1H3i4@1g2r3i4@1u0o6i4K6S2o6i4@1f1$3i4K6R3^5i4K6V1I4i4@1f1$3i4K6S2o6i4K6R3&6i4@1f1%4i4K6R3#2i4@1p5%4i4@1f1&6i4K6R3%4i4K6S2o6i4@1f1&6i4K6W2p5i4@1p5J5i4@1f1%4i4K6W2m8i4K6R3@1i4@1f1$3i4@1q4p5i4@1p5#2i4@1f1&6i4@1q4m8i4@1p5@1i4@1f1#2i4K6S2q4i4@1u0n7i4@1f1$3i4K6V1K6i4K6S2p5i4@1f1@1i4@1u0p5i4K6W2o6i4@1g2r3i4@1u0o6i4K6S2o6i4@1f1%4i4K6W2m8i4K6R3@1i4@1f1%4i4@1p5I4i4@1q4q4i4@1f1#2i4K6S2r3i4@1q4r3i4@1f1@1i4@1u0n7i4@1p5#2i4@1f1$3i4K6S2r3i4K6V1H3i4@1f1#2i4K6S2r3i4K6V1$3i4@1f1#2i4K6R3%4i4@1u0m8i4@1f1@1i4@1t1^5i4K6R3H3i4@1f1@1i4@1t1^5i4@1q4m8i4@1f1$3i4K6V1$3i4@1t1H3i4@1f1%4i4K6W2m8i4K6R3@1k6i4S2W2i4@1f1$3i4K6V1$3i4K6R3%4i4@1f1@1i4@1u0n7i4@1t1$3i4@1g2r3i4@1u0o6i4K6S2o6i4@1f1@1i4@1u0p5i4K6R3$3i4@1f1$3i4K6V1^5i4@1q4r3i4@1g2r3i4@1u0o6i4K6S2o6i4@1f1#2i4K6W2o6i4@1p5^5i4@1f1$3i4K6W2o6i4K6R3H3i4@1f1#2i4K6V1H3i4K6S2q4i4@1f1$3i4@1q4p5i4@1p5#2i4@1f1&6i4@1q4m8i4@1p5@1i4@1f1%4i4K6W2m8i4K6R3@1i4@1g2r3i4@1u0o6i4K6W2m8
Dumping The "Real" Real Executable

• Open the new file you dumped in a .NET disassembler such as ILSpy.
• View the files managed resources and save the resource '_' in this case, to disk as a new executable.
• This new file is the real obfuscated crackme file fully removed from the loaders.
• After this point I stopped, the file does a lot of suspicious things so I didn't bother continuing.
  

这里，新提取出来的exe虽然图标和文件信息什么的都正确，看着好像正常，但实际上已经不能正常运行了（有人说是缺了资源数据）。而且使用Simple AssemblyExplorer打开之后，资源里面并没有“_”，而是三个乱码名字的，我提取出来保存为exe发现都并不是正常的PE文件。

通过搜索，我找到别人分享的一个视频（4daK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4m8S2L8W2)9J5k6h3u0S2K9h3c8#2i4K6u0W2j5$3!0E0i4K6u0r3M7#2)9J5c8U0q4U0z5r3g2y4P5h3q4Q4c8f1k6Q4b7V1y4Q4z5o6W2Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0k6Q4z5e0S2Q4b7f1k6Q4c8e0k6Q4z5o6W2Q4z5p5u0Q4c8e0S2Q4z5o6c8Q4b7U0q4Q4x3X3g2z5k6i4b7`. Reactor 4.9的，里面的步骤与上面帖子的一样，也是先用od打开，搜索参考字符串，跟随，下断，断下后F8，EAX处跟随内存，保存数据到文件，再用winhex编辑这个文件，把特征处前面的区块断删除，保存为新的文件，也就是提取出来的新exe了。文件看着正常，但实际上已无法正常运行。下一步的用Simple AssemblyExplorer打开提取"_"资源并保存也是没有办法继续了。

在看雪上我搜索过，貌似有很多人跟我一样遇到过这种壳且用de4net脱不掉的，或者勉强脱掉后也无法运行的，但我看也有大神会弄的。有人回复说可以手脱，但没说具体方法，有人说ESP定律可以脱，我试过不行。搜索了下.Net Reactor手脱，基本没什么结果。

在此想请教一下大家，这种.Net Reactor加壳的程序，在de4net无法脱掉或者脱掉后无法运行的情况下，就没有办法了吗？如果是别的语言的，我可能还可以带壳用od慢慢研究，也就花的时间长一点，但.Net程序用OD调试实在没啥用呀。如果有大神能指教一下如何对付这种壳，或者如何手脱，或者脱掉后如何修复的话，小弟感激不尽！

最后，附上文件链接，11.exe是原始文件，22.exe是按照帖子说明操作之后提取出来的新的文件（无法正常运行）。f46K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4m8S2L8W2)9J5k6h3u0S2K9h3c8#2i4K6u0W2j5$3!0E0i4K6u0r3M7#2)9J5c8U0q4G2y4#2u0u0d9@1I4U0

[培训]科锐逆向工程师培训第53期2025年7月8日开班！