摘要: 本次脱壳的测试对象是CodeLib 2 V14.9.2468.42911 更新日期是2006-10-5 目前的最新版本。
运行脱机程序到如下界面:
选中列表中的第二项,codelib.exe,选择一个保存路径,点击dump按钮,即可完成脱壳。
脱壳完的程序保存到codedump.exe。
注意这个文件是直接dump脱壳的结果,不能直接运行。
使用ildasm 反编译,然后打开il文件
查找 IL_0000: call void InFaceMaxtoCode::Startup()
替换为 //IL_0000: call void InFaceMaxtoCode::Startup()
即取消对 maxtocode 运行库的引用。
然后运行 ilasm 编译成exe文件。
放在codelib的安装目录中即可正常运行了
阅读全文
摘要: V2.0 增加对 mdTypeSpec 的解析。
下载地址:
http://www.bbsftp.com/temp/ILByteDecoderV2.0.rar
解码效果如下(fannee提供的那段代码的解码结果):
阅读全文
摘要: v1.85
+支持nested class的全名解析
v1.8
+支持 字段,和方法的签名解析。
解码效果如下基本上和 ildasm的一样,
大家使用中如果遇到解码效果和ildasm不一样的欢迎给我留言,我会在研究后更新。
阅读全文
摘要: 前一回讲了 IL字节码的解码问题,并提供了一个小工具,但解码的效果和 ildasm还是差很多,给阅读也带来了一些困难。还有就是有些文件选择文件后解码会出错,这是因为maxtocode对文件里面的元数据进行了随机加密。这一回主要解决元数据的还原以及对解码进行改进。
阅读全文