之前发了一个实验品
http://bbs.pediy.com/showthread.php?t=45184
功能还不完善,这个是完整的版本。
能脱压缩壳,整体加密壳,有反射漏洞的加密壳。
方法:
采用的是注入方式,注入到目标进程。
注入后会看到一个列表界面。
在这个列表里面会显示出当前进程中的所有程序集。
首先在列表里面选择一个要脱壳的程序集。
然后选择保存路径。(注1)
在就脱壳。
程序使用的是 VS2005 C++/CLI 需要相关运行库 mfc80u.dll msvcr80.dll msvcm80.dll...
注1:程序没有实现PE dump功能,所以,你需要先使用 petools之类的工具 dump 要脱壳程序集的pe模块,保存到文件。然后在脱壳机界面选择保存路径时就选择 这个文件。
程序脱完后用 ildasm,ilasm ,然后就可以用reflector查看了。
或者直接脱完后用 Dis#查看。
下载地址:
http://bbs.pediy.com/showthread.php?t=47729
http://bbs.pediy.com/showthread.php?t=45184
功能还不完善,这个是完整的版本。
能脱压缩壳,整体加密壳,有反射漏洞的加密壳。
方法:
采用的是注入方式,注入到目标进程。
注入后会看到一个列表界面。
在这个列表里面会显示出当前进程中的所有程序集。
首先在列表里面选择一个要脱壳的程序集。
然后选择保存路径。(注1)
在就脱壳。
程序使用的是 VS2005 C++/CLI 需要相关运行库 mfc80u.dll msvcr80.dll msvcm80.dll...
注1:程序没有实现PE dump功能,所以,你需要先使用 petools之类的工具 dump 要脱壳程序集的pe模块,保存到文件。然后在脱壳机界面选择保存路径时就选择 这个文件。
程序脱完后用 ildasm,ilasm ,然后就可以用reflector查看了。
或者直接脱完后用 Dis#查看。
下载地址:
http://bbs.pediy.com/showthread.php?t=47729