问题描述
我目前正在调查受保护的 .NET 恶意软件。
我正在处理使用相同类型保护的 PE 文件。 它在运行时解密其 IL 代码。 我知道一段真正的 IL 代码。
我能够在两个不同的时刻恢复一段相同的 IL 代码。 picture of the 3 versions of the IL code
第二行,在compileMethod之前
最后一行是我最终应该得到的。
我想了解逃避的工作原理。为什么可以使用 0x0A800005 而不是 0x0A00001D (Systems.Windows.Form.Label) 编译 IL 并且仍然有一个正在运行的程序。
有没有办法在运行时解析 0x0A800005 并理解它与 Systems.Windows.Form.Label 有某种关联?
提前致谢
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)