Chào mọi người,
Hiện tại tôi đang cố gắng giải mã một số assembly .NET được bảo vệ bằng ArmDot.
(VM + lệnh calli + chuỗi mã hóa), nhưng tôi đã gặp bế tắc.
Tôi đang cần sự giúp đỡ từ bất kỳ ai quen thuộc với cấu trúc bên trong của ArmDot hoặc kỹ thuật làm mờ mã nguồn dựa trên máy ảo.
Thông tin phát hiện (từ Detect It Easy):
Bộ bảo vệ: ArmDot
(Giờ) Bảo vệ:
- Che giấu mã nguồn (Máy ảo khởi tạo CLR)
- Mã hóa chuỗi
- Chống ILDASM
- Calli gọi
- Chống phân tích / Chống gỡ lỗi
Các mô-đun được bảo vệ:
- WiseEye.Data.dll (2.6 MB)
- WiseEye.Utils.dll (277 KB)
- WiseEye.Transit.dll (127 KB)
- Tệp thực thi chính: WseMix3.exe
Ghi chú kỹ thuật:
- Mỗi mô-đun chứa nhiều cấu trúc VM như Struct11, Struct12, Struct110, Struct111, v.v.
- Tất cả những thứ này đều có FieldRVA và chính xác 4096 byte → các khối mã byte của ArmDot VM.
- GClass29 dường như là bộ điều phối VM chính kiêm bộ giải mã chuỗi.
- Các chuỗi ký tự được mã hóa hoàn toàn; chỉ được giải mã khi thực thi chương trình.
- Nhiều phương pháp sử dụng calli kết hợp với các lệnh nhảy gián tiếp thay vì các lệnh gọi trực tiếp.
- dnSpy chỉ hiển thị dữ liệu rác hoặc mã IL không thể đọc được do lớp VM.
Những điều tôi cần giúp đỡ:
1. Trích xuất và giải mã (dữ liệu VM)
2. Loại bỏ các lệnh gọi calli → khôi phục các lệnh gọi trực tiếp
3. Tái cấu trúc mã IL/C# dễ đọc
4. (Tùy chọn) Tạo một tập tin .dll/.exe đã được làm sạch hoàn toàn, có thể tải được trong dnSpy
Cảm ơn trước!
Hiện tại tôi đang cố gắng giải mã một số assembly .NET được bảo vệ bằng ArmDot.
(VM + lệnh calli + chuỗi mã hóa), nhưng tôi đã gặp bế tắc.
Tôi đang cần sự giúp đỡ từ bất kỳ ai quen thuộc với cấu trúc bên trong của ArmDot hoặc kỹ thuật làm mờ mã nguồn dựa trên máy ảo.
Thông tin phát hiện (từ Detect It Easy):
Bộ bảo vệ: ArmDot
(Giờ) Bảo vệ:
- Che giấu mã nguồn (Máy ảo khởi tạo CLR)
- Mã hóa chuỗi
- Chống ILDASM
- Calli gọi
- Chống phân tích / Chống gỡ lỗi
Các mô-đun được bảo vệ:
- WiseEye.Data.dll (2.6 MB)
- WiseEye.Utils.dll (277 KB)
- WiseEye.Transit.dll (127 KB)
- Tệp thực thi chính: WseMix3.exe
Ghi chú kỹ thuật:
- Mỗi mô-đun chứa nhiều cấu trúc VM như Struct11, Struct12, Struct110, Struct111, v.v.
- Tất cả những thứ này đều có FieldRVA và chính xác 4096 byte → các khối mã byte của ArmDot VM.
- GClass29 dường như là bộ điều phối VM chính kiêm bộ giải mã chuỗi.
- Các chuỗi ký tự được mã hóa hoàn toàn; chỉ được giải mã khi thực thi chương trình.
- Nhiều phương pháp sử dụng calli kết hợp với các lệnh nhảy gián tiếp thay vì các lệnh gọi trực tiếp.
- dnSpy chỉ hiển thị dữ liệu rác hoặc mã IL không thể đọc được do lớp VM.
Những điều tôi cần giúp đỡ:
1. Trích xuất và giải mã (dữ liệu VM)
2. Loại bỏ các lệnh gọi calli → khôi phục các lệnh gọi trực tiếp
3. Tái cấu trúc mã IL/C# dễ đọc
4. (Tùy chọn) Tạo một tập tin .dll/.exe đã được làm sạch hoàn toàn, có thể tải được trong dnSpy
Cảm ơn trước!