Tutoriales

ConfuserEx2 String Decryptor – Guía de desofuscación

ConfuserEx2 es la última versión de la serie Confuser → programa de protección gratuito y de código abierto para aplicaciones .NET.

ConfuserEx2_String_Decryptor protección constante anti-ofuscación, objetivo Cadena objetos y personaje[] formación.

La herramienta se probó en la versión estándar de ConfuserEx2 (ConfuserEx 1.6.0+-), pero también debería funcionar con algunas versiones personalizadas.

describir

ConfuserEx2_String_Decryptor es una aplicación de consola C# sencilla que utiliza:

este [Release] Los binarios se compilan para win-x86 y win-x64 usando .NET Framework 4.7.2.

Construir en Windows

  • Instalar Visual Studio
  • Abra .sln y restaure paquetes NuGet (AsmResolver.DotNet, Lib.Harmony, etc.) → debería ser automático si la URL de NuGet está configurada
  • Compilación: lanzamiento x86, x64

uso

para muestras no empaquetadas (volcado – pasando el constructor del módulo)
ConfuserEx2_String_Decryptor.exe (32 bits) en muestras de 32 bits, (64 bits) en muestras de 64 bits
arrastrar y soltar o ConfuserEx2_String_Decryptor.exe

ConfuserEx2 (1.6.0+-) Guía completa de desofuscación

Dado que muchos desarrolladores de malware, malware comercial y asistentes técnicos suelen utilizar este ofuscador (evite el uso de versiones anteriores) para proteger muestras de .NET, he reunido algunas herramientas y pasos sencillos para ayudar con la desofuscación.
Esta guía fue probada en una versión estándar de ConfuserEx2, pero también debería manejar algunas versiones personalizadas simples.

describir

La mayoría de estas herramientas se basan en bibliotecas de código abierto conocidas y utilizan:

  • analizador de ensamblaje & dnlib – Manipulación de componentes .NET (modificación de código IL y metadatos)
  • Armonía 2 – Ganchos de depósito en garantía (para vencer algunos anti-controles)
  • Reflexión .NET – Llamada dinámica
  • Alemania 4 puntos – CF desofuscado y renombrado (es una versión diferente a la original)

este [Release] También se incluyen todas las herramientas utilizadas en esta guía.»ConfuserEx2_Deobfuscate_Tools.7z«

Guía – Pasos

Si el ejemplo está empaquetado (lo que significa que el código IL del método no es visible en herramientas como dnSpyEx), depúrelo y tirarlo de la memoria justo después constructor de módulos La ejecución finaliza y regresa al punto de entrada original.

almacenar Guarde tantos metadatos como sea posible durante la modificación desde la memoria.

este punto de entrada original A menudo se elimina de los metadatos del módulo .NET, así que utilice una herramienta como dnSpyEx para solucionarlo.

usar una versión específica Alemania 4 puntos Se utiliza para limpiar y cambiar el nombre de CF.

de4dot.exe  -p crx

Utilice herramientas de descifrado de cadenas (ConfuserEx2_String_Decryptor) → Versión de 32 bits en muestras de 32 bits y versión de 64 bits en muestras de 64 bits.

usar Eliminador de llamadas de proxy Deshágase de los métodos proxy (debería ser útil incluirlos).

LEER  ¡Lanzamiento de Linux Mint 20.2 "Uma" Xfce! - El blog de Linux Mint

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba