Как деобфускации общественного класс имен .NET


3

enter image description here

Я уже попробовать de4dot со всеми библиотеками DLL и EXE и попробуйте удалить сильное имя и не работаю.

что я делаю неправильно?

  0

Вы не всегда можете деобфассировать .NET-файлы. Если, когда двоичные файлы скомпилированы, реализация обфускации изменяет само имя в каждом месте, на которое оно ссылается, тогда это (измененное имя) является тем, что имя будет для вас, реверсом. 08 ноя. 172017-11-08 15:21:49

  0

Что вы думаете о том, что я пробовал свой последний выстрел с помощью IDA? Могут быть сделаны? 08 ноя. 172017-11-08 15:25:51

+1

Опять же, если имя было изменено на 100% в загруженном приложении, вам нечего восстанавливать. Это как если бы разработчик разработал приложение, используя эти обфусканные имена в первую очередь. В зависимости от того, что вы хотите достичь, здесь проводится другой анализ (статический и/или динамический), где вы должны найти свой путь к значению всего, что запутано (ну, все, что вам интересно, по крайней мере) , Это отнюдь не тривиальная задача обязательно, но это то, что вы должны начать рассматривать в отсутствие значимых символов/имен. 08 ноя. 172017-11-08 15:33:25

  0

Большое спасибо Я так одержим нарушением этих имен. И я люблю невозможные задачи. Вы цитировали статический или динамический анализ, я только начал киберкурс на RE имеет тему только о том, что вы цитировали. Большое спасибо за помощь. Если я не могу, все в порядке. Но я не сдамся легко. Я пристрастился к этому. 08 ноя. 172017-11-08 15:56:03

  0

Это дух. =) Статический анализ - это когда вы изучаете двоичные файлы, не выполняя их. Динамический анализ - это когда вы изучаете двоичные файлы во время их выполнения. Каждый из них имеет свои конкретные цели. Я видел этот курс Кибрари, но не принял его. Курсы, которые я обычно рекомендую людям, - это то, что из OpenSecurityTraining: http://opensecuritytraining.info/Training.html 08 ноя. 172017-11-08 16:03:24

+1

@dsasmblr, пожалуйста, подумайте над тем, чтобы эти комментарии были разработаны как ответ, так как он отвечает на вопрос 09 ноя. 172017-11-09 06:51:38

  0

Готово, Megabeets. Я сделаю это в следующий раз, когда комментарии перерастут в более согласованный ответ. 09 ноя. 172017-11-09 13:47:47

4

Преобразование нескольких комментариев моих к ответу для будущих читателей:

Вы не всегда deobfuscate .NET двоичные файлы. Если, когда двоичные файлы скомпилированы, реализация обфускации изменяет само имя в каждом месте, на которое оно ссылается, тогда это (измененное имя) является тем, что имя будет для вас, реверсом. Это как если бы разработчик разработал приложение, используя эти обфусканные имена в первую очередь.

В зависимости от того, что вы хотите выполнить, здесь проводится другой анализ (статические [изучение двоичных файлов без их выполнения] и/или динамические [изучение двоичных файлов во время их выполнения]), в которых вы должны найдите свой путь к значению всего, что запутано (ну, все, что вам интересно, по крайней мере). Это отнюдь не тривиальная задача обязательно, но это то, что вы должны начать рассматривать в отсутствие значимых символов/имен (что довольно часто происходит в неуправляемых (non-CLR) двоичных файлах, которые не имеют имен символов).

  0

Я понял, что происходит. У него есть замаскированное значение У меня есть значение в маске. Можно отменить отметку.? 09 ноя. 172017-11-09 17:57:27