.NET的DNGuard HVM 请问大神们有什么思路
首先,为了防止定义为求脱求破,所以关键部位打码,只!!!请大家的思路或者类似方面教程{:5_116:}DNGuard HVM貌似是 今年7月 3.8版本
{:5_184:}
od载入 程序,发现什么都不显示 {:5_185:}
只有跑起来,F9暂停
运行后登录界面空密码 弹窗下段各种call,绕个蒙圈,最终猜测如下代码 却不知如何绕过,没找到关键地方{:5_191:}
77D507CF 90 nop
77D507D0 90 nop
77D507D1 90 nop
77D507D2 90 nop
77D507D3 90 nop
77D507D4- FF25 3C11D177 jmp dword ptr ds:[<&GDI32.GdiCreateLocal>; gdi32.GdiCreateLocalEnhMetaFile
77D507DA 90 nop
77D507DB 90 nop
77D507DC 90 nop
77D507DD 90 nop
77D507DE 90 nop
77D507DF- FF25 9011D177 jmp dword ptr ds:[<&GDI32.GdiConvertMeta>; gdi32.GdiConvertMetaFilePict
77D507E5 90 nop
77D507E6 90 nop
77D507E7 90 nop
77D507E8 90 nop
77D507E9 90 nop
77D507EA >8BFF mov edi,edi
77D507EC 55 push ebp
77D507ED 8BEC mov ebp,esp
77D507EF 833D BC14D777 0>cmp dword ptr ds:,0x0
77D507F6 74 24 je short user32.77D5081C
77D507F8 64:A1 18000000mov eax,dword ptr fs:
77D507FE 6A 00 push 0x0
77D50800 FF70 24 push dword ptr ds:
77D50803 68 241BD777 push user32.77D71B24
77D50808 FF15 C412D177 call dword ptr ds:[<&KERNEL32.Interlocke>; kernel32.InterlockedCompareExchange
77D5080E 85C0 test eax,eax ; user32.MessageBoxW
77D50810 75 0A jnz short user32.77D5081C
77D50812 C705 201BD777 0>mov dword ptr ds:,0x1
77D5081C 6A 00 push 0x0
77D5081E FF75 14 push dword ptr ss:
77D50821 FF75 10 push dword ptr ss:
77D50824 FF75 0C push dword ptr ss:
77D50827 FF75 08 push dword ptr ss:
77D5082A E8 2D000000 call user32.MessageBoxExA
77D5082F 5D pop ebp
77D50830 C2 1000 retn 0x10
载入 Reflector
都是调用 HVMRuntm.dll {:5_188:}
od载入了 HVMRuntm.dll 发现里面各种 红红的 未知命令 顿时感觉 人生惨淡,没有爱了 {:6_223:}
DNGuard HVM - 内核级的 .Net 加密保护、混淆保护、虚拟机保护技术
感觉好牛 好屌 好流弊{:6_217:}
请问这种情况下,前进的方向在哪里{:5_193:}基友们,快来捡香皂
这个混淆很难~~ 而且C#程序通常也不是用OD破啊~ 723853985 发表于 2017-10-11 12:41
这个混淆很难~~ 而且C#程序通常也不是用OD破啊~
大神,能说的详细点么 {:5_123:} 详细点就是删除吧~~~ 这个你不可能搞定的 723853985 发表于 2017-10-11 20:12
详细点就是删除吧~~~ 这个你不可能搞定的
{:5_188:} 感谢大神指导 软件发出来看看吧!!! 楼主搞定了吗? 这种只能用.NET动态调试工具才行,必须先脱壳。OD无法使用 寻找net逆向相关资料,
页:
[1]