摘要：不咋会 VM，大家都觉得简单，只有我觉得难:( IDA 打开，查看主函数 分析 sub_CD1 函数 提取出来操作码如下 0xF5, 0xF1, 0xE1, 0x00, 0x00, 0x00, 0x00, 0xF2, 0xF1, 0xE4, 0x20, 0x00, 0x00, 0x00, 0xF1, 阅读全文

摘要：利用 dnspy 查看 Assembly-CSharp.dll，定位到关键部分 注意到 Decrypt 函数所在地方将输入数据与解密内容对比，查看一下这个函数 对传入的字符串先 base64 解密再 des 解密，查看传入字符串 得到密文以及密钥 因为 C# 里面字符串默认是 Unicode，密钥是 阅读全文

摘要：IDA 打开，没法 F5，发现几处花指令 main 函数里总共有三处这样的花指令，把每处的这三句都 nop 掉，再往下又发现一处花 上面两句 jb，jnb 都 nop 掉，然后看到 in 那里 in 的字节码是 E4，后面紧跟一个 C7，C7 是 mov，所以这一定是花，把 E4 改为 90（对应操 阅读全文