.NET逆向基础（2）

幻苍秋

0x1：
        本帖来讲述如何用OD(OLLYDBG)调试追码爆破.net程序，OD本身是挂不住.net程序的，有了ILLY(插件)就可以。
        准备：①OD     ②能看懂IL指令ILLY设置如下图，如果弹出信息框不用管         

0x2：
        这期准备了两个CM分别用来追码和爆破，两个都是无壳的.net程序无需脱壳，如图


0x3：
       在逆向前需手动将数据窗口显示字符转换为UNICODE(32字符)
       右键数据窗口->文本->UNICODE(32字符)
       ①追码
        将Form拖入OD，ILLY会自动挂钩停下来并将那一片区域内的汇编指令转换为IL指令

         接下来我们需要连续点击F9，让程序运行起来。随便在编辑框输入几个数字，点击确定回来到此处

       IL指令为：

1. L_0000: ldarg.0
   
2. L_0001: ldfld 0x04000003
   
3. L_0006: callvirt ::get_Text
   
4. L_000B: ldstr 0x70000001
   
5. L_0010: call ::op_Inequality
   
6. L_0015: brfalse.s L_0023
   
7. L_0017: ldstr 0x70000013
   
8. L_001C: call ::Show
   
9. L_0021: pop
   
10. L_0022: ret
    
11. L_0023: ldstr 0x7000001F
    
12. L_0028: call ::Show
    
13. L_002D: pop
    
14. L_002E: ret
    

复制代码

      这里是最好的爆破点看IL指令就不多说了，但我们今天的目的是追码所以不爆破。我们F9往下跟会发现寄存器EDX中的值发生变化

     右键数据窗口跟随后，会得到真正的邀请码moci_bbs

     ②爆破
     同上，将CM拖入OD后F9将程序运行起来（需要多次F9），这个CM有点特殊，需要F9二十多次才能运行。
     还是随便输入一串密码，然后点击登录来到此地

     IL指令：

1. L_0000: ldsfld 0x04000006
   
2. L_0005: ldarg.0
   
3. L_0006: ldfld 0x0400000B
   
4. L_000B: callvirt ::Min
   
5. L_0010: callvirt 0x0600000A
   
6. L_0015: stloc.0
   
7. L_0016: ldloc.0
   
8. L_0017: ldstr 0x70000907
   
9. L_001C: call ::op_Equality
   
10. L_0021: brfalse.s L_0036    //跳转至偏移0036
    
11. L_0023: newobj 0x06000055   //创建窗口对象
    
12. L_0028: stloc.1
    
13. L_0029: ldloc.1
    
14. L_002A: callvirt ::Show   //展示功能窗口
    
15. L_002F: ldarg.0
    
16. L_0030: call ::Close   //关闭登录窗口
    
17. L_0035: ret  //返回
    
18. L_0036: ldloc.0
    
19. L_0037: call ::Show   //弹出信息框
    
20. L_003C: pop
    
21. L_003D: ret  //返回
    

复制代码

     简略分析一下IL指令了解流程后F8往后跟，如果跟到call跳转到其他地方，按一下弹出的显示IL指令窗口下的SKIP按钮即可回溯。
     同样一处地方，EDX再次变化，不用管往下跟，跟到text,eax,eax后EAX变成了0我们将它置1（也可以改跳转或nop）接着跟就能破掉。
补充：

     到上图这个Call这里线程会挂死需要激活线程
    由于.net程序是中间语言，所以无法将修改保存，逆向.net还是建议用dnspy、Reflector这些静态工具。
    ILLY插件： ILLY v1.0 beta5.7z (16.82 KB, 下载次数: 1)

2022-1-24 15:40 上传

点击文件名下载附件
OD调试.net插件
阅读权限: 10

    示范视频以及用到的CM下载地址：https://office.moci6.com/index.p ... 2lqbmFIdzhLQ3gyUnpH

知芯

学不会就是说

知芯

知芯 发表于 2022-1-24 19:48
学不会就是说

wc 25个币 666

dghjgg

这么好的帖子不回对不起我自己！

幻苍秋

知芯 发表于 2022-1-24 19:48
学不会就是说

能看懂IL指令，了解程序流程就会了

sky

不管你信不信，反正我是信了。

洺白

论坛不能没有像楼主这样的人才啊！

空气星球

啥也不说了，楼主就是给力！

小哥哥

啥也不说了，楼主就是给力！

haj20080504

看了LZ的帖子，我只想说一句很好很强大！