.NET逆向基础（1）

幻苍秋 · 发表于 2021-9-20 10:53:01

登录后享用更多功能

您需要登录才可以下载或查看，没有账号？立即注册

×

0x1：
说到.net逆向，大家首先想到一定是反编译。反编译有个弊处就是"不入此门，不得此道"，意思就是如果你不懂这门语言，反编译出来代码也看不懂，那么.net能像易语言、C++那样反汇编么，答案是能的。如C#、VB等依赖于.net环境的高级语言在将代码编译成托管代码时，编译器将源代码翻译为Microsoft中间语言（MSIL）简称IL语言，也可以称作IL汇编语言，市面上一些.NET逆向反编译工具如dnspy、Reflector、dotPeek等都具备将IL语言翻译为源代码的功能，也就是说可以将反编译出来的源代码回滚成IL语言，我们只需要修改IL指令便可做到同OD一样修改汇编指令的效果。

0x2准备：
dnspy或Reflector (这里我准备了IL跳转指令图文)：
跳转指令.png

(这里我自己写了个小玩意，问题不大)

doNet逆向基础课件.exe (12.5 KB, 下载次数: 1)
E2QO@{LY4[CMS0O45(%Q37Q.png

0x3入坑
这里以C#为例将文件拖进dnspy，右键模块转到入口点，然后我们会看到程序的主窗口Form1，点击进入来到下图界面

然后我们在左边的程序集资源管理器中展开Form1，找到button1_Click（按钮1_被点击）后会看到

try
{
string text = File.ReadAllText("C:\\nx.txt");
string[] array = text.Split(new char[]{'|'});
bool flag = this.textBox1.Text == array[0] && this.textBox2.Text == array[1];
if (flag)
{
MessageBox.Show("登录成功！");
}
}
catch
{
}

复制代码

然后我们看到if的上方有个bool类型（真假）的判断，可以看到这行代码就是判断账号和密码是否正确的

bool flag = this.textBox1.Text == array[0] && this.textBox2.Text == array[1];

复制代码

接下来，右键模块点击编辑IL指令
7B0@@@V@`AF[0HZ11IZ%>.png

是不是感觉有点OD的内味了？仔细看就会发现"登录成功"上方39 (005B) nop的操作码brfalse.s，其中false翻译过来就是假，操作符中的005B就是变量为假时要跳转到的偏移，但是我们不能让他跳转。false的反义词是什么？true（真），所以我们可以将brfalse.s换成brtrue.s，点击确定后代码的变化如下

string text = File.ReadAllText("C:\\nx.txt");
string[] array = text.Split(new char[]
{
'|'
});
if (!(this.textBox1.Text == array[0]) || !(this.textBox2.Text == array[1]))
{
MessageBox.Show("登录成功！");
}

复制代码

那么新的问题又来了，为什么点击后没反应呢？我们可以看到账号和密码是从文件nx.txt中读取出来的，这种根据文件路径读取如果没找到文件是会报错而不是返回假，因为try、catch的缘故没有提示报错，上面的代码我们看不懂也不知道写到文件中的格式，怎么办？我们可以从注册账号的地方下手！
那么如此我们可以Ctrl+Z撤销之前的操作
0x4分析程序

得到确定了方向后，我们看向程序资源管理器中的"注册ToolStripMenuItem_Click"，进入后会看到第二个窗口From2，跟进去会看到如下
(SGIF}87MI0}UN]A@%}$U.png

往下翻会看到以下代码

private void button1_Click(object sender, EventArgs e)
{
File.Delete("C:\\nx.txt");
this.IDleng = this.cpuid.Length;
bool flag = this.textBox1.Text.Length < this.IDleng || this.textBox1.Text.Length > this.IDleng;
if (flag)
{
MessageBox.Show("格式不正确");
}
else
{
bool flag2 = this.textBox1.Text == this.cpuid;
if (flag2)
{
File.WriteAllText("C:\\nx.txt", this.textBox2.Text + "|" + this.textBox3.Text);
MessageBox.Show("注册成功");
}
}
}

复制代码

如此我们就到达目的地了，接下来说一下上面IL跳转指令里没有的指令"br"和“br.s”无条件跳转，相当于jmp。所以我们要做的是跳出没用格式判断，右键编辑IL指令

20 0045 ldarg.0
21 0046 ldfld int32 doNet逆向基础课件.Form2::IDleng
22 004B cgt
23 004D br.s 25 (0050) stloc.0
24 004F ldc.i4.1
25 0050 stloc.0
26 0051 ldloc.0
27 0052 brfalse.s 34 (0063) ldarg.0
28 0054 nop
29 0055 ldstr "格式不正确"
30 005A call valuetype [System.Windows.Forms]System.Windows.Forms.DialogResult [System.Windows.Forms]System.Windows.Forms.MessageBox::Show(string)
31 005F pop
32 0060 nop
33 0061 br.s 59 (00B5) ret
34 0063 ldarg.0
35 0064 ldfld class [System.Windows.Forms]System.Windows.Forms.TextBox doNet逆向基础课件.Form2::textBox1

复制代码

我们可以清楚的看到ldstr"格式不正确"上方的brfalse.s判断，把它换成br.s。往下翻会看到

40 0079 stloc.1
41 007A ldloc.1
42 007B brfalse.s 59 (00B5) ret
43 007D nop
44 007E ldstr "C:\\nx.txt"
45 0083 ldarg.0
46 0084 ldfld class [System.Windows.Forms]System.Windows.Forms.TextBox doNet逆向基础课件.Form2::textBox2
47 0089 callvirt instance string [System.Windows.Forms]System.Windows.Forms.Control::get_Text()
48 008E ldstr "|"
49 0093 ldarg.0
50 0094 ldfld class [System.Windows.Forms]System.Windows.Forms.TextBox doNet逆向基础课件.Form2::textBox3
51 0099 callvirt instance string [System.Windows.Forms]System.Windows.Forms.Control::get_Text()
52 009E call string [mscorlib]System.String::Concat(string, string, string)
53 00A3 call void [mscorlib]System.IO.File::WriteAllText(string, string)
54 00A8 nop
55 00A9 ldstr "注册成功"
56 00AE call valuetype [System.Windows.Forms]System.Windows.Forms.DialogResult [System.Windows.Forms]System.Windows.Forms.MessageBox::Show(string)
57 00B3 pop
58 00B4 nop
59 00B5 ret

复制代码

接下来通过分析序号46-52的操作符，可以盲猜文件中的格式是Text+|+Text（"账号|密码"），然后把序号42的brfalse.s替换为brtrue.s点击确定后源码变化如下

File.Delete("C:\\nx.txt");
this.IDleng = this.cpuid.Length;
bool flag = this.textBox1.Text.Length < this.IDleng || this.textBox1.Text.Length > this.IDleng;
flag;
if (!(this.textBox1.Text == this.cpuid))
{
File.WriteAllText("C:\\nx.txt", this.textBox2.Text + "|" + this.textBox3.Text);
MessageBox.Show("注册成功");
}

复制代码

左上角文件选项保存模块后F5运行测试
A%HE9E01DVK7Z(9K1@A9}7S.png