请问大神.NET查壳工具都有哪些?

已知的有DotNet Id    除了这个还有别的吗?脱MAXTOCODE发现是双壳。脱掉第一层还有一层,DotNet Id检测没壳了,但是反编译还是加密状态.

用PEiD查壳,用OD脱壳

ScanID算不算?

https://hintdesk.com/2007/11/09/net-id/  DotNet Id 再也不支持了

帮忙看看这个.net加密的是什么壳,查不出来

.NET Reactor混淆,用de4dot反混淆
.net软件用ScanId来查

一个用.net写的抢购软件,加壳了

首先确定是.net写的,需要4.0框架,用DotNet Id.exe查壳
然后用de4dot-v3.1.41592.3405脱壳
脱不了
然后用dnSpy查看

双壳 themida/WinLicense + NetReactor

脱壳很简单了。关键是Dump.
你的贱手足够快之外,还要有点小窃门。
Dump后,直接De4dot。清爽无比。

[PEtools] 【搬运】Protection ID多功能查壳工具

Protection ID 是一款国外的多功能查壳工具软件,其主要功能就是可以用来扫描程序查看是否加壳以及PE信息、扫描加密光盘等功能。

Protection ID功能

    • -PC游戏应用程序保护检测
    • -目前涵盖573项检测,其中包括Win32位/64位程序的文件保护和壳以及.NET、加密狗等
    • -扫描加密CD/DVD光盘
    • -支持拖放
    • -强大的扫描引擎可以检测多个保护
    • -支持资源管理器菜单
    • -额外的工具扩展
    • -完全兼容32位和64位

总结

PEiD  https://www.aldeid.com/wiki/PEiD

https://www.softpedia.com/get/Programming/Packers-Crypters-Protectors/PEiD-updated.shtml

PEiD(PE Identifier)是一款著名的查壳工具,其功能强大,几乎可以侦测出所有的壳,其数量已超过470 种PE 文档 的加壳类型和签名。

Decompling .net assembly

There are many .Net code protection alternative, that obfuscate the IL codes so that they are not that much exposed to IL disassembler application.

  • .Net Reactor
  • Themida
  • SmartAssembly
  • the list is huge . . .

many of the protector modify the Exe (PE Header info), .Net exe contains some extra MetaData that helps disassembler to identify it.

Download this little application it may tell you a little more about the exe.

Download PEiD 0.95

PEiD is an intuitive application that relies on its user-friendly interface to detect packers, cryptors and compilers found in PE executable files – its detection rate is higher than that of other similar tools since the app packs more than 600 different signatures in PE files.

PEiD comes with three different scanning methods, each suitable for a distinct purpose. The Normal one scans the user-specified PE file at its Entry Point for all its included signatures. The so-called Deep Mode comes with increased detection ratio since it scans the file's Entry Point containing section, whereas the Hardcore mode scans the entire file for all the documented signatures.

My best guess the assembly you are looking for is Protected by .Net Reactor or Themida

[.NET] ScanId .Net下混淆识别器

https://www.52pojie.cn/forum.php?mod=attachment&aid=MzI5NTcyfDAxN2ZjZjhlfDE1NjMw MDU1NTl8MHwyOTIyNjc=

.Net-Reverse-Engineering

https://github.com/blacksourcez/.Net-Reverse-Engineering

待破解的是【.NET】UnpackMe!Shielden+DNGuard,双层变异壳

【.NET】UnpackMe!Shielden+DNGuard,双层变异壳 - 脱壳详解

文中所有工具列表:
1. CFF: http://www.ntcore.com/exsuite.php
2. Universal Fixer :http://www.52pojie.cn/thread-82492-1-1.html
3. DNGuard HVM Unpacker。http://www.52pojie.cn/thread-320711-1-2.html
4. ILDASM/ILASM 微软VS2010以上版本自带 DOTNET4.0的反编译/编译工具。
5. Donet Dumper, 乱码及入口点修复工具(本人作品),脱壳后的文件: <ignore_js_op> Tools.rar

让程序跑起来后,我们准备在内存抓,其实这样的工具有很多,使用起来都大同小异,比如上一篇文章中我说的Task Explorer,还有WinHex也是可以的。今天我再推荐一款DOTNET专用的工具,因为我发现这个工具自带一定的修复功能。

那就是DOTNET Dumper,其实吾爱论坛上也有http://www.52pojie.cn/thread-67257-1-1.html, 但是这个版本脱壳时会报错,其版本号是1.0.3936.41928。 我手上的是版本1.0.3938.31576,可以顺利脱壳,可以在附件中下载。其实用什么工具都是一样的,不过如果用Task Explorer需要自己再多修复些东西。

找到进程,然后点击右键Dump。

貌似腾讯云山寨了这篇文章,可以看https://cloud.tencent.com/developer/article/1088093   吾爱破解这个站点被和谐了

HearthBuddy的淘宝版本,

文件夹下有HVMRuntm.dll

这是dnguard软件对原软件进行混淆后产生的dll文件,防止软件被反编译。

丢到de4dot工具里面看一下,虽然检查出了加壳的工具,但是无法处理

Detected DNGuard HVM (not supported) (C:\Program Files\de4dot-net35\Hearthbuddy.exe)
Cleaning C:\Program Files\de4dot-net35\Hearthbuddy.exe
WARNING: File 'C:\Program Files\de4dot-net35\Hearthbuddy.exe' contains XAML which isn't supported. Use --dont-rename.
Renaming all obfuscated symbols
Saving C:\Program Files\de4dot-net35\Hearthbuddy-cleaned.exe
ERROR:
ERROR:
ERROR:
ERROR: Hmmmm... something didn't work. Try the latest version.

.net 查壳工具的更多相关文章

  1. 标记下 'net 查壳/脱壳/加壳' 工具

    net查壳工具 DotNet Id v1.0.0.3 该net程序集被“MaxToCode”加壳了(也不能完全相信). 加壳工具就是列表中列出的了. de4Net.exe脱壳工具版本de4dot-v3 ...

  2. net破解一(反编译,反混淆-剥壳,工具推荐)

    net破解一(反编译,反混淆-剥壳,工具推荐) 大家好,前段时间做数据分析,需要解析对方数据,而数据文件是对方公司内部的生成方式,完全不知道它是怎么生成的. 不过还好能拿到客户端(正好是C#开发)所以 ...

  3. 防反编译的加壳工具-Virbox Protector

    通过Virbox Protector可快速对您的软件进行加壳,可防调试,防挂钩,防反编译. 首先,你要有一个云平台(www.sense.com.cn)的帐号,登录后,只需将你的dll或者exe拖入到加 ...

  4. 加壳工具-Virbox Protector Standalone

    深思数盾自动保护工具Virbox Protector Standalone,是深思数盾科技股份有限公司经过多年技术深耕开发的一款高强度自动保护(加密)工具. 该工具集混淆.虚拟化.外壳加密.数据加密于 ...

  5. 代码查重工具sim

    在瞎搜东西的时候,发现了一个大牛的博客 看起来很厉害的样子...做了一个LaTeX的语法检查并给出适当的提示,上wiki上一查发现他竟然是CVS第一个版本的发明者和开发者...Dick grune这是 ...

  6. LyScript 内存扫描与查壳实现

    LyScript 中提供了多种内存特征扫描函数,每一种扫描函数用法各不相同,在使用扫描函数时应首先搞清楚他们之间的差异,如下将分别详细介绍每一种内存扫描函数是如何灵活运用的,最后将实现一个简易版内存查 ...

  7. 2) 接口规范 原生django接口、单查群查 postman工具 CBV源码解析

    内容了解 """ .接口:什么是接口.restful接口规范 .CBV生命周期源码 - 基于restful规范下的CBV接口 .请求组件.解析组件.响应组件 .序列化组件 ...

  8. 查重工具Jplag的使用

    目录 前言 一.Jplag是什么? 二.使用步骤 1.下载包 2.java环境配置 3.如何使用 三.总结 前言 说明一下本文章针对最新版本Jplag3.0使用JplagAPI 一.Jplag是什么? ...

  9. 微软Connect教程系列--自动生成增删改查页面工具介绍(二)

    本章课程描述了vs2015的三个特点,其中主要将描述在vs2015下面,使用命令自动生成增删改查界面,具体如下: 1.web.config文件不在存在,用config.json替代,以适应支撑vs的插 ...

随机推荐

  1. mysql的decimal(10,0) not null问题

    今天排查一个bug发现开发环境老是报错 order_num 字段insert的时候不能为空,但是发现测试环境没有这个问题. 后来发现测试环境有一个数据库docker安装的mysql 版本是5.7  而 ...

  2. vue项目 时间戳转 格式

    项目用了 element UI的日期插件,修改时 时间回显不了,打印出来是换行了,因此要转换 changeTime(value){ let date = new Date(value); let y ...

  3. Java必考题目之JVM面试题目和答案

    JVM内存模型 首先我们来了解一下JVM的内存模型的怎么样的: 1.堆:存放对象实例,几乎所有的对象实例都在这里分配内存 堆得内存由-Xms指定,默认是物理内存的1/64:最大的内存由-Xmx指定,默 ...

  4. GitLab端口冲突 解决办法

        访问gitlab,出现:502 GitLab在使用的过程中,会开启80端口,如果80端口被其他的应用程序占用,则GitLab的该项服务不能使用,所以访问GitLab会失败.大多数皆是此问题.  ...

  5. JAVA语言程序设计课后习题----第四单元解析(仅供参考)

    1 本题水题,主要理解题目的意思即可,访问方法和修改方法可以通过快捷方式alt+insert选中你需要的成员变量即可 public class Person { public String name; ...

  6. sql分页查询(2005以后的数据库)和access分页查询

    sql分页查询: select * from ( select ROW_NUMBER() over(order by 排序条件) as rowNumber,* from [表名] where 条件 ) ...

  7. (备忘)Java数据类型中String、Integer、int相互间的转换

    1.Integer转换成int的方法 Integer i; int k = i.intValue();即Integer.intValue(); 2.int转换成Integer int i; Integ ...

  8. NORDIC GATT事件

    假设有两个服务,每个服务注册相应事件 注册的事件为ble_dev_cfg_on_ble_evt.ble_lora_cfg_on_ble_evt 当在任何一个服务中发生GATT特征读或写的时候,注册的这 ...

  9. PAT Basic 1051 复数乘法 (15 分)

    复数可以写成 ( 的常规形式,其中 A 是实部,B 是虚部,i 是虚数单位,满足 1:也可以写成极坐标下的指数形式 (,其中 R 是复数模,P 是辐角,i 是虚数单位,其等价于三角形式 (. 现给定两 ...

  10. emplace_back() 和 push_back 的区别

    在引入右值引用,转移构造函数,转移复制运算符之前,通常使用push_back()向容器中加入一个右值元素(临时对象)的时候,首先会调用构造函数构造这个临时对象,然后需要调用拷贝构造函数将这个临时对象放 ...