ConfuserEx(1.0.0) dll 脱壳记录

ConfuserEx(1.0.0) dll 脱壳

目录

• 调试excel的c#插件
  • 更多-选型-加载项
  • 获取插件缓存路径
  • dnspy打开
• 脱壳
  • 取消插件，再勾选插件
  • 步入
  • 跳出
  • 保存
  • de4dot-cex
  • 删除.cctor()
  • patch/保存

目标dll为excel的com插件

调试excel的c#插件

excel插件运行时会将插件拷贝到：

C:\Users\xxxx\AppData\Local\assembly\dl3\xxxx\xxx\xxxxxx\xxxxxxxxxx

更多-选型-加载项

根据类型管理加载项

勾选则加载，

获取插件缓存路径

使用ProcessHacker 查看excel模块

dnspy打开

设置断点，设置进程附加

脱壳

取消插件，再勾选插件

步入

可以发现'程序集资源管理器' 中多了个目标dll

跳出

保存

设置MD写入选项，方便de4dot处理

de4dot-cex

去混淆

删除.cctor()

其实可以在前面保存时处理

patch/保存

之后的保存没必要设置MD写入选项

不提供破解思路，请自由发挥