程序为.NET的所编译的,程序目录一共有七个文件,主程序已经被作者加上了WinLicense的壳而且还带有网络验证。
程序名称:T36588_2011.exe
内部名称:顶尖操盘手
程序目录:
主程序:
首先我们来查壳显示未知:
从区段我们可以一眼就看出其实就是WL的壳
WL和TMD的壳可以用脚本脱壳之在分析爆破的关键,但是针对这款.NET的商业程序.而且还有反混淆我们怎么办呢?
难道真的去手动去脱它那不是累死我们了啊,让我们的经历全部用在后面的分析爆破上面 接下来我们正式进入脱壳的操作。
--------------------------------------------------------------------------------------------------------------------------------------------------------
首先我们需要一款自动脱壳工具NETUnpack
然后打开NETUnpack脱壳工具选择被脱壳的主程序的进程进行脱壳
接着我们运行要被脱壳的主程序Unpacked_1.exe
此时我们来运行脱壳后的主程序看看是否能正常运行:
很明显是运行不了的难道是我们脱壳哪里出了问题吗?
这里要和大家说一下,这款工具原理上是可以脱掉的但是要搞清楚的是面对这款程序而言脱壳后的主程序是不可以运行的还需要下面一个步骤那就是所谓的修复。
修复工具de4dot.exe
接下来我们把先前脱壳后的主程序直接拖入到OK搞定
这时就会在原来的目录里重新生产修复过后的程序Unpacked_1-cleaned.exe
我们再次打开修复过后的程序在输入任意帐号和密码点击登录看看有没有什么关键的提示信息
这里提示用户名或密码错误
接着我们动用.NET调试工具,这里我用到的是SimpleAssemblyExplorer大家可以根据的习惯用任意的.NET调试工具只要自己感觉顺手就行了
我们打开SimpleAssemblyExplore调试工具选择最后修复过后可以正常运行的主程序Unpacked_1-cleaned.exe
由于时间关系为了照顾新手我特意录制了一段脱壳破解的详细语音视频教程给大家,以及教程里所用到的工具我都会打包给大家。谢谢大对破解生涯的支持!
附上我已经完美破解的截图:
教程下载请参考这篇帖子:
http://www.52pojie.cn/thread-187540-1-1.html
|