Деобфускация .net

Сейчас на форуме: vsv1, NIKOLA, r0lka, johnniewalker (+4 невидимых)

Посл.ответ	Сообщение
WannaCode Ранг: 0.1 (гость) Активность: 0=0 Статус: Участник	Создано: 25 сентября 2019 18:32 · Личное сообщение · #1 Решил разреверсить одно приложение. Так как de4dot не справляется, решил сделать вручную. Расшифровал код, восстановил класс Program. Споткнулся о конструкции вида Code: for (;;) { IL_2B1C: uint num13 = 3535402907u; for (;;) { uint num2; switch ((num2 = (num13 ^ 3082938982u)) % 45u) { case 0u: num13 = (num2 * 2692934266u ^ 1921240084u); continue; case 1u: MessageBox.Show(<Module>.smethod_36<string>(3749894506u), <Module>.smethod_36<string>(3668073065u)); num13 = (num2 * 580020653u ^ 1309406797u); continue; case 2u: this.notifyIcon_0.ShowBalloonTip(5000, <Module>.smethod_36<string>(985062527u), <Module>.smethod_34<string>(4023471989u) + this.int_25 + <Module>.smethod_34<string>(3980432990u), ToolTipIcon.Info); MessageBox.Show(<Module>.smethod_33<string>(4100543861u)); this.int_20++; num13 = (num2 * 4142395835u ^ 2889234218u); continue; case 3u: num13 = (num2 * 71515459u ^ 879798017u); continue; case 4u: this.richTextBox_0.Text = string.Concat(new object[] { <Module>.smethod_35<string>(1150715081u), DateTime.Now, <Module>.smethod_34<string>(3849373754u), this.int_25, <Module>.smethod_34<string>(2160597432u), this.richTextBox_0.Text }); num13 = (num2 * 1588386516u ^ 1652649048u); continue; case 5u: num13 = 3257770860u; continue; case 6u: this.bool_1 = true; num13 = (num2 * 2703624519u ^ 637681122u); continue; case 7u: { bool flag16 = Class23.smethod_13(this.int_25); num13 = (num2 * 1575687266u ^ 3771363000u); continue; } case 8u: num13 = (num2 * 814370016u ^ 1124631258u); continue; case 9u: this.bool_11 = true; num13 = (num2 * 2608258140u ^ 4034719729u); continue; case 10u: num13 = (((!Class23.smethod_13(this.int_25)) ? 3421919986u : 3716977549u) ^ num2 * 1990168806u); continue; case 11u: num13 = (num2 * 3080698099u ^ 2767214099u); continue; case 12u: this.bool_1 = true; this.streamWriter_1.WriteLine(string.Concat(new object[] { <Module>.smethod_36<string>(2351365830u), DateTime.Now, <Module>.smethod_33<string>(2407032824u), this.int_25, <Module>.smethod_36<string>(4124544019u) })); num13 = (num2 * 3462032328u ^ 4058823532u); continue; case 13u: num13 = 2228345086u; continue; case 14u: { bool flag16; num13 = ((flag16 ? 1383839631u : 16370222u) ^ num2 * 761381830u); continue; } case 15u: num13 = (((this.streamWriter_1 != null) ? 3771441818u : 2378349683u) ^ num2 * 4102670886u); continue; case 16u: this.bool_6 = true; num13 = (num2 * 2616661043u ^ 1046695861u); continue; case 17u: num13 = 2150199592u; continue; case 18u: this.int_31++; num13 = (num2 * 3607809429u ^ 3209382732u); continue; case 19u: this.richTextBox_0.Text = string.Concat(new object[] { <Module>.smethod_33<string>(269125423u), DateTime.Now, <Module>.smethod_36<string>(1410731607u), this.int_25, <Module>.smethod_33<string>(4023285718u), this.richTextBox_0.Text }); this.notifyIcon_0.ShowBalloonTip(5000, <Module>.smethod_36<string>(985062527u), <Module>.smethod_36<string>(424440832u) + this.int_25 + <Module>.smethod_33<string>(857325780u), ToolTipIcon.Info); num13 = (num2 * 4099672421u ^ 2122550757u); continue; case 20u: this.bool_1 = true; num13 = (num2 * 422663904u ^ 3523545783u); continue; case 21u: num13 = 3417154291u; continue; case 22u: this.bool_6 = true; num13 = (num2 * 2377530756u ^ 3520413137u); continue; case 23u: num13 = (num2 * 2028743964u ^ 2335731498u); continue; case 24u: this.int_20++; this.method_25(this.int_20); num13 = (num2 * 1610931711u ^ 3895470199u); continue; case 25u: this.method_25(this.int_20); num13 = (num2 * 1699345407u ^ 2237619346u); continue; case 26u: num13 = (num2 * 448998985u ^ 2603675008u); continue; case 27u: num13 = (num2 * 2865887306u ^ 2235582125u); continue; case 28u: this.label_22.Text = <Module>.smethod_35<string>(1523847516u) + this.int_31.ToString(); num13 = (num2 * 606762847u ^ 3385979942u); continue; case 29u: this.streamWriter_1.Close(); num13 = 3646525267u; continue; case 30u: num13 = (num2 * 4058215021u ^ 1300511857u); continue; case 31u: num13 = (num2 * 352037927u ^ 390761754u); continue; case 32u: goto IL_2B1C; case 33u: num13 = (num2 * 1110637639u ^ 5971526u); continue; case 34u: this.label_5.ForeColor = Color.Blue; num13 = (num2 * 1798070680u ^ 2185981926u); continue; case 35u: num13 = (num2 * 3425316977u ^ 2879584443u); continue; case 36u: MessageBox.Show(<Module>.smethod_36<string>(3900295341u)); num13 = 2817477471u; continue; case 37u: this.streamWriter_1.Close(); num13 = (num2 * 1803766645u ^ 3745394553u); continue; case 38u: num13 = ((this.bool_13 ? 1090315439u : 479931277u) ^ num2 * 816866463u); continue; case 40u: this.streamWriter_1 = this.fileInfo_1.AppendText(); num13 = 3378943465u; continue; case 41u: this.label_5.Text = <Module>.smethod_34<string>(3325136810u); num13 = (num2 * 4242330746u ^ 4157004787u); continue; case 42u: num13 = (num2 * 1401748170u ^ 3948457185u); continue; case 43u: this.bool_1 = true; this.streamWriter_1.WriteLine(string.Concat(new object[] { <Module>.smethod_33<string>(269125423u), DateTime.Now, <Module>.smethod_37<string>(2021744322u), this.int_25, <Module>.smethod_33<string>(857325780u) })); num13 = (num2 * 2291531749u ^ 4049286796u); continue; case 44u: this.button_10.Enabled = false; num13 = (num2 * 1548058259u ^ 726720218u); continue; } goto Block_68; } } Block_68:; Как можно превратить их в опрятный код? Или придется глазки напрягать?

Mishar_Hacker Ранг: 88.2 (постоянный), 58thx Активность: 0.11↘0.04 Статус: Участник	Создано: 25 сентября 2019 18:54 · Личное сообщение · #2 WannaCode Это конфусер, и уже есть для него деобфускаторы с исходным кодом, так что проще найти на гитхабе готовое и переделать
disciple27 Ранг: 0.3 (гость) Активность: 0=0 Статус: Участник	Создано: 25 сентября 2019 19:18 · Личное сообщение · #3 https://github.com/BedTheGod/ConfuserEx-Unpacker-Mod-by-Bed e6bd_25.09.2019_EXELAB.rU.tgz - Confuserex.Unpacker.Mod.by.Bed.rar
sefkrd Ранг: 77.2 (постоянный), 73thx Активность: 0.19↘0.15 Статус: Участник	Создано: 25 сентября 2019 21:06 · Личное сообщение · #4 WannaCode пишет: Или придется глазки напрягать? Да, придется.. В коде присутствует декодер строк, найди, декодируй в ASCII - поймёшь логику..
Adler Ранг: 55.9 (постоянный), 29thx Активность: 0.12↗0.22 Статус: Участник	Создано: 25 сентября 2019 21:09 · Поправил: Adler · Личное сообщение · #5 Mishar_Hacker пишет: Это конфусер А по чем видно, что это именно конфузер, а не какой-то другой обфускактор? ~~Такое точно~~ Очень похожее и в этом образце после .Net Reactor: --> Link <-- И эту case-кашу привести в читабельный вид так и не удалось, хотя некоторые фрагменты и стали более понятными. Добавлено спустя 2 минуты WannaCode, а взглянуть на это приложение можно?

Для печати