你好,
我有一个 exe 文件,我正在尝试使用 dnspy 对其进行反混淆和调试。exe文件是用C#写的,根据de4dot用unknown deobfuscate混淆了!我尝试使用所有已知的方法进行处理,但仍然无法完全消除混淆。
分析文件
- Exeinfo PE
我试图用 exeinfope 分析文件以检查使用了哪个混淆器,但我只得到了 [obfus/crypted]。
Microsoft Visual C#/Basic.NET/MS Visual Basic 2005 [Obfus/Crypted-StrongName set] - EP Token:06000080,Overlay:403900...没有发现
- 网络间谍
在 dnspy 中打开文件但代码不可读,尤其是方法和函数名称是 unicode 形式。
我的尝试:
- 试图用 de4dot 对文件进行反混淆,但我收到“检测到未知混淆器”,然后出现错误。
- 尝试了 de4dot 的修改版本,我能够对 exe 进行反混淆,但所有功能都显示为“委托”。exe 文件也被检测为“未知的混淆器”,但设法清除了它。
- 试图调试清理过的版本,但是当我启动 dnspy 时出现异常 (System.NullReferenceException)
我的问题:
- 使用了哪个混淆器?
- 为什么所有函数都定义为“delgate”?
- 为什么我在调试时得到空异常
谢谢...
更新 20/08/2020
在查看代码时,我发现所有“委托”调用都引用了一个接受整数的函数,但我找不到这个函数的任何明显返回,我认为它返回了函数和方法名称,但是.. 。 如何!!
