脱壳工具NETUnpack,可以脱去DotNetReactor等加的壳,非常强悍。分享一下。
主要步骤:
1.用netunpack脱一下,发现脱出来peid还是不能检测出来,但原文件与脱出来的都能被reflector直接打开
2.关键点用reflector很好找,找到后用reflexil修改,保存,去强名称,但运行失败,显示bad assembly
3.发现有dll依赖项,把相关dll也去掉强名称,assemblyref 也取消检验后,运行直接死掉。
4.用sn -Vr命令注销掉全部exe和dll的强名称检测,这次又用回原文件,还是直接死掉
5.给注册表加跳过验证的项,还是不行,用一个软件反编译说是混合编译没法重新编译
5.想直接修改,找不到相应的指令位置
6.想做内存注册机,内存中也发现不了指令对应的位置.