问题描述
我正在一些 C# 代码中寻找潜在的逻辑炸弹,该代码已被混淆。
使用 JetBrains dotpeek、Visual Studio 和一些搜索和替换,我能够主要重建一个可以进行一些动态分析的可执行程序。
问题:唯一不能编译的部分是下面的语句,或者其他什么
-~~--~-~~
示例:(取自代码中非常不同的地方
short num11 = (short)((int)Deobfuscate._0023_003Dzv2V9Fh_V8ugFUxzftdmW5kq_kcfL._0023_003DzRw6ZUmZ68LAF2yi85xpB68sAa34J() ^ (int)(short)-~~--~-~~-~(995664381 ^ num1 ^ num2));
if ((Deobfuscate._0023_003DzorSRCcTOYKrh3x9df3y4zTUV7xtN & (Deobfuscate._0023_003Dz277oJx4nAbXTNVLUpThNrwpfFcLe) - ~~-~-~-~(-1146824238 - num1 - num2)) == (Deobfuscate._0023_003Dz277oJx4nAbXTNVLUpThNrwpfFcLe)0)
Deobfuscate._0023_003Dz2gVGGuaOv4QwjTSyzGr7X5yxc453 = (-995626251 ^ num1) + num2;
int[] numArray = new int[4]
{
0,~-~--~~-~-1863408518
};
numArray[1] = -~~--~-~~105240205;
numArray[2] = -~~--~~-~-~445034824;
numArray[0] = ~--~~--~~-~-393837398;
int f6EjAc8IXjjzuWiO4 = this._0023_003Dz14FRLF6EjAC8_iXJjzuWiO4_003D;
int tUvT87zJtuOmYrdE = this._0023_003Dzwdghyzouofs_0024tUVT87zJtuOmYRdE;
int num1 = -~-~-~~-~1640531528;
int num2 = -~~--~-~~957401313;
以以下反编译/混淆的 C# 语句为例:int num2 = -~~--~-~~957401313;。这是什么意思? C# 无法将其识别为有效语句,但确实是对某些 IL 代码进行反编译的结果。
解决方法
-
-只是否定 -
~按位非。由于 C# 需要二进制补码整数表示,因此~x == -x - 1用于所有 X。 -
--是自动递减运算符,但它仅对左值有效,而数字文字则无效。我认为这是反编译器中忘记分隔减号的错误。
因此,您最后一段代码的稍微去混淆的版本是:
numArray[1] = -105240204;
numArray[2] = -445034826;
numArray[0] = 393837396;
int f6EjAc8IXjjzuWiO4 = this._0023_003Dz14FRLF6EjAC8_iXJjzuWiO4_003D;
int tUvT87zJtuOmYrdE = this._0023_003Dzwdghyzouofs_0024tUVT87zJtuOmYRdE;
int num1 = -1640531527;
int num2 = -957401312;
这是我如何分解它:
"~-~--~~-~-1863408518"(从左到右)
1111 1111 1111 1111 1111 1111 1111 1111 1001 0000 1110 1110 1010 0100 0111 1010 = -1863408518
0110 1111 0001 0001 0101 1011 1000 0101 (NOT)
1111 1111 1111 1111 1111 1111 1111 1111 1001 0000 1110 1110 1010 0100 0111 1011 (-)
0110 1111 0001 0001 0101 1011 1000 0100 (NOT)
1111 1111 1111 1111 1111 1111 1111 1111 1001 0000 1110 1110 1010 0100 0111 1011 (NOT)
0110 1111 0001 0001 0101 1011 1000 0101 (-)
1111 1111 1111 1111 1111 1111 1111 1111 1001 0000 1110 1110 1010 0100 0111 1011 (-)
0110 1111 0001 0001 0101 1011 1000 0100 (NOT)
1111 1111 1111 1111 1111 1111 1111 1111 1001 0000 1110 1110 1010 0100 0111 1100 (-)
0110 1111 0001 0001 0101 1011 1000 0011 (NOT)
110 1111 0001 0001 0101 1011 1000 0011 = 1,863,408,515