-
-
[分享]ConfuserEx1.0
-
发表于: 2020-5-22 22:57
-
ConfuserEx 是免费开源的 .NET 应用保护工具,提供混淆保护。
Git Clone代码到本地:
git clone e3bK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3N6A6N6r3S2#2j5W2)9J5k6h3y4G2L8g2)9J5c8Y4W2U0K9K6p5#2x3o6W2Q4x3V1k6o6L8$3&6X3N6i4y4W2M7V1g2^5
Assets
第一部分:混淆
一、将保护的程序拖进来吧,如下图:
二、单击菜单Settings
1)选择Packer
2) Modules->目标程序hello.exe
3) Rules 点击+号,true
三、点击Protest!->Protect! ,保护成功。
使用ILSpy查看混淆过后的程序,如图:
四、捆绑EXE和DLL
将EXE和DLL一起拖放到ConfuserEx中,按上述流程操作,即可将DLL嵌入到EXE中去。
五、混淆DLL
将DLL拖入ConfuserEx后,Settings里面不能选择Packer了,而是要点击右侧那个铅笔按钮。弹出Edit rule对话框,Preset选择一项,我这里选择Maximum,然后再点击下面 “+”按钮,选择anti ildasm(我猜是防止通过IL编译),然后导出成功。
第二部分:脱壳还原
工具:UnConfuserEx
一、UnConfuserEx脱壳
UnConfuserEx需要 .NET Framework 4.0以上运行环境。这一步就可以脱壳成功了,得到脱壳后的文件,但反编译查看,发现字符还是混淆,需要进一下处理。
二、使用ConfuserExStringDecryptor将加密的字符串解密
三、使用ConfuserExSwitchKiller将混淆的switch分支结构解密
四、拖入de4dot去除其他混淆
参考资料:
264K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6&6M7g2)9J5k6h3q4D9K9i4W2#2L8W2)9J5k6h3y4G2L8g2)9J5c8X3q4J5N6r3W2U0L8r3g2K6i4K6u0r3x3K6f1K6x3U0V1K6
328K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2U0L8X3u0D9L8$3N6K6i4K6u0W2j5$3!0E0i4K6u0r3k6r3g2F1k6%4S2A6i4K6u0r3M7q4)9J5c8U0M7H3y4U0V1@1y4e0u0Q4x3X3g2Z5N6r3#2D9
975K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6E0K9h3&6V1L8r3!0U0K9%4y4A6N6r3g2Q4x3X3g2%4L8%4u0V1M7s2u0W2M7%4y4Q4x3X3g2U0L8$3#2Q4x3V1j5J5x3o6p5%4i4K6u0r3x3o6u0Q4x3V1j5I4x3g2)9J5c8X3g2S2M7%4W2Q4x3X3c8%4j5i4W2Q4x3X3c8@1L8#2)9J5k6s2g2F1M7r3q4U0K9#2)9J5k6r3y4G2L8X3k6#2M7$3g2J5k6i4S2Q4x3X3b7I4i4K6u0V1x3q4)9J5k6r3#2S2P5q4)9J5k6s2y4W2N6s2c8A6L8X3N6K6i4K6u0r3j5h3#2H3i4K6u0r3
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
楼主 我遇到一个软件 用ConfuserEx把dll也打包进去了 不知如何解密DLL 主程序dnspy已经可以看到源码了
|
|
|
|
|
|
分享一个中文增强版
|
|
|
|
|
|
|
