本帖最后由 apull 于 2023-12-23 21:19 编辑
相关文件
具体过程看一下文件结构

- 除了主程序外,Common.dll也挺可疑的,都分析下
用 Exeinfo PE 检测壳,都使用了 .Net Reactor 加壳
 
使用 NETReactorSlayer 脱壳,默认参数即可 
把 Common_Slayed.dll 改回 Common.dll ,利用 dnspy 反编译(起了下目标程序发现需要 .net framework ,所以这边需要下载 .net framework 版本的 dnspy ) 
加密工具类和 http 请求类都在 Common.dll 里,下断点,开始调试。 

先看下解密出来了什么,找到一个特殊的结果,存在 auth_info 字段,并且提示信息与程序页面一致,猜测 -45 为异常 code ,找下处理的地方。 
这个 LoadingForm 看着挺像的,看下具体代码 
code 为 -45 时,打开提示框,为0则进行下一步。尝试修改一下num2,存在无法编译的代码。。。。只能编辑IL指令 


把多余指令改为 nop ,最后赋值一个 0(ldc.i4.0),看下结果,修改成功。 
保存文件,重启,成功进入。 
意外发现这程序自动上传的数据还挺多。。。 
注:若转载请注明大神论坛来源(本贴地址)与作者信息。
下方隐藏内容为本帖所有文件或源码下载链接:
游客你好,如果您要查看本帖隐藏链接需要登录才能查看,
请先登录
|