在 .Net程序加密的原理及解密探讨三（实例解密）  一文中我们介绍了反射，
主要提到三个函数
 DumpAssembly，DumpType， DumpMethod。

这里我们将就 DumpMethod 这个函数讨论。


阅读全文……

正如前面提到的DotNet 程序的脱壳和普通PE文件的脱壳是有密切关系的。
传统PE文件dump大部分都是进程外dump，这里我们介绍的DotNet程序集的脱壳
使用进程内dump。

所以第一步就是注入问题，如何让我们的程序在目标进程内运行？


阅读全文……

正常的情况下，我们写一个 C/C++ 函数，即使是一个空函数，编译器也为我们做了不少的工作，生成了一些“必要”的代码。
请看下面的函数 (为了说明问题随便写的):
[code]
int Test()
{


阅读全文……

尽管 C 和 C++ 都已经有标准，但是几乎每个编译器 (广义，包含连接器等) 扩展一些 C/C++ 关键字。合理地应用这些关键字，有时候能使我们的工作非常方便。下面随便说说 Visual C++ 中 #pragma 指示符的使用。
一、用#pragma导出DLL函数

传统的到出 DLL 函数的方法是使用模块定义文件 (.def)，Visual C++ 提供了更简洁方便的方法，那就是“__declspec()”关键字后面跟“dllexport”，告诉连接去要导出这个函数，例如：



阅读全文……

本次脱壳的测试对象是CodeLib 2 V14.9.2468.42911 更新日期是2006-10-5 目前的最新版本。

运行脱机程序到如下界面：




阅读全文……

IL字节码解码工具更新 V2.0

V2.0 增加对 mdTypeSpec 的解析。

下载地址：


阅读全文……

v1.85
+支持nested class的全名解析
v1.8
+支持 字段，和方法的签名解析。



阅读全文……

前一回讲了 IL字节码的解码问题，并提供了一个小工具，但解码的效果和 ildasm还是差很多，给阅读也带来了一些困难。
还有就是有些文件选择文件后解码会出错，这是因为maxtocode对文件里面的元数据进行了随机加密。
这一回主要解决元数据的还原以及对解码进行改进。


阅读全文……

在前面几章我们已经能够去掉被加密程序原始的IL字节码了。
这些字节码是十六进制的，人脑直接来阅读是非常困难的。
这一章主要介绍将字节码翻译成 可阅读的 MSIL 汇编代码，以及前几章的遗留问题解决。
 



阅读全文……

上一回我们试验了通过反射的方式获取method的源代码。
这次我们就用一个实例来演示dump一个程序集中的所有类型和方法的IL源代码。

首先打开VS2005 新建一个C＃的windows程序：
在窗体添加添加一个2个 button，2个label，一个textbox，一个 checkbox，一个savefiledialog。


阅读全文……