sixxpack破解的文章!【转】

星期天闲着没事玩游戏,玩游戏不能无外挂。于是百度了半天,找到了一个,看介绍貌似不错,就下载了下来。一看,竟然是用.net写的,下意识地Reflector了一下。发现竟是一个叫actmp的程序集。如图: 

 

 

随便点开看了看,没发现什么和外挂有关的东西。奇怪,于是又百度了一下"actmp.dll",发现了这篇文章http://blog.csdn.net/yizhiduxiu11/archive/2008/12/23/3589396.aspx,其中说"经Sixxpack加壳后,用Reflector打开exe文件,哈哈,看到的永远都只是一个actmp.dll的信息,其中包含4个7zip命名空间和1个Sixxpack命名空间,反编出来这些东西对也没啥处......"。      基本明白咋回事了。我又用“Sixxpack”做关键字搜了一下,果然找到了一堆这个软件的信息,其中说"Sixxpack 是一个 .net EXE 文件压缩工具。经 Sixxpack 压缩过的文件,运行时与压缩前相比没有任何区别,压缩比最大可达80%。压缩后的文件更难被反编译,保护您的程序不被破解......"
感慨搜索引擎强大的同时,我们可以确定,这个程序100%是用Sixxpack处理过了。目的可能是为了减少体积,更可能是为了防止俺这样随便Reflector的人。如果用其他工具压缩也还罢了,但是Sixxpack貌似也是.net写的,而且没有混淆过,不看一看他的代码多对不起自己.net程序员的光荣称号啊。为了查看方便,我用File Disassembler插件把源码导了出来,找到了Main方法所在的类。核心的东西在Main方法里,很简单,我加上了注释。代码如下:
namespaceSixxpack
{
    usingSystem;
    usingSystem.IO;
    usingSystem.Reflection;
    usingSystem.Windows.Forms;

    internalclassstub
    {
        internalstaticintorig =0x8000;//加密程序集的偏移量

        [STAThread]
        privatestaticvoidMain(string[] args)
        {
            try
            {
                AppDomain.CurrentDomain.AssemblyResolve +=newResolveEventHandler(stub.myResolveEventHandler);//程序集解析失败的后路
}
            catch(Exception)
            {
            }
            object[] parameters =newobject[] { args };//参数,如果有,就传给解压出来的程序集
MemoryStream inStream =newMemoryStream();//构造一个内存流
Stream stream2 =newFileStream(Application.ExecutablePath.Substring(Application.ExecutablePath.LastIndexOf('//') +1), FileMode.Open, FileAccess.Read);//打开一个文件流,指向正在运行的这个文件
stream2.Position =orig;//当前流的位置设置为加密程序集的偏移量
byte[] buffer =newbyte[stream2.Length -orig];//一个缓冲字节数组,长度为加密程序集的长度,用来存储加密程序集
stream2.Read(buffer, 0, Convert.ToInt32(buffer.Length));//把加密程序集读取到缓冲数组里
inStream.Write(buffer, 0, buffer.Length);//把加密程序集从缓冲数组里写到内存流里
inStream.Seek(0L, SeekOrigin.Begin);//把当前流的位置放到开始处
Compressor compressor =newCompressor();
            Assembly assembly =Assembly.Load(compressor.Decompress(inStream));//把内存流中的数据解压出来,并加载到一个程序集
try
            {
                assembly.EntryPoint.Invoke(null, parameters);//执行这个程序集的入口方法,并传给参数
}
            catch
            {
                assembly.EntryPoint.Invoke(null, null);//没有参数的话就不传
}

        }

        privatestaticAssembly myResolveEventHandler(objectsender, ResolveEventArgs args)
        {
            stringpath =args.Name.ToString().Trim().Split(newchar[] { ','})[0].ToString().Trim();
            if(path.IndexOf(".") >=0)
            {
                path =path.Replace(".", "_") +".dll";
            }
            else
            {
                path ="_"+path +".dll";
            }
            MemoryStream inStream =newMemoryStream();
            Stream stream2 =newFileStream(path, FileMode.Open, FileAccess.Read);
            byte[] buffer =newbyte[stream2.Length];
            stream2.Read(buffer, 0, Convert.ToInt32(buffer.Length));
            inStream.Write(buffer, 0, buffer.Length);
            inStream.Seek(0L, SeekOrigin.Begin);
            Compressor compressor =newCompressor();
            returnAssembly.Load(compressor.Decompress(inStream));
        }
    }
}
从以上代码,我们可以猜测,Sixxpack把压缩过的程序集和Sixxpack的解压程序(也就是壳)放在了一个文件里。运行程序时,Sixxpack的解压程序先运行,然后执行以下步骤:
1.构造一个内存流。
2.取出压缩后的程序集二进制数据,放进内存流。所谓压缩后的程序集二进制数据,也就是这个文件的第0x8000(即程序里定义的orig字段)到最后一个字节的数据。至于为啥是从0x8000开始,我想0x8000应该是壳的长度吧,壳的数据占据了从0到0x8000字节的空间,剩下的应该就是压缩后的程序集的数据了。
3.用Compressor类的Decompress方法解压内存流数据,得到原始程序集。
4.用反射加载原始程序集,找到程序集的入口方法,并执行这个入口方法(这时Sixxpack已完成任务,控制权已转交给解压出来的程序集),如果入口方法需要参数的话,会把Main方法的参数传给入口方法。
既然明白了解压的方法,那么想拿到原始的程序集也不是什么难事了。只要知道压缩后的程序集在文件中的偏移量(我猜测应该都是0x8000,不过没看过其他例子,不敢确定),就可以把它取出来,然后用Compressor类的Decompress方法解压即可得到原始程序集,最后输出到一个文件就行了。
代码很好写,大部分照抄Main方法就行了,至于Decompress方法,不用管它具体怎么实现的,反射过来直接使用即可。下面是主要代码,我直接写在界面里了,懒得再独立写一个方法:

             private void btnDecompress_Click(object sender, EventArgs e)

{
            try
            {
                Assembly assembly =Assembly.LoadFile(txtAssemblyPath.Text);//加载指定程序集
if(assembly !=null)
                {
                    if(assembly.FullName.Contains("actmp,"))//看看是不是Sixxpack压缩过的程序集
{
                        Type compressorClass =assembly.GetType("Sixxpack.Compressor");//得到Compressor方法的类型
MethodInfo DecompressInfo =compressorClass.GetMethod("Decompress");//Decompress方法,供后面使用
intorig =Convert.ToInt32(assembly.GetType("Sixxpack.stub").GetField("orig", BindingFlags.NonPublic |BindingFlags.Static).GetValue(null));//压缩后的程序集的偏移量,我虽然强烈怀疑就是0x8000,为了保险起见,还是反射出来吧。

                        #region这段照抄Main方法的内容
                        MemoryStream inStream =newMemoryStream();
                        Stream stream2 =assembly.GetFiles()[0];//这么写就可以了
stream2.Position =orig;
                        byte[] buffer =newbyte[stream2.Length -orig];
                        stream2.Read(buffer, 0, Convert.ToInt32(buffer.Length));
                        inStream.Write(buffer, 0, buffer.Length);
                        inStream.Seek(0L, SeekOrigin.Begin);
                        #endregion

                        byte[] data =(byte[])DecompressInfo.Invoke(Activator.CreateInstance(compressorClass), newobject[] { inStream });//调用Decompress方法,获得原始程序集的数据
if(sfdAssembly.ShowDialog() ==DialogResult.OK)
                        {
                            sfdAssembly.OpenFile().Write(data, 0, data.Length);//把数据保存到指定文件,OK,完工!
}
                        MessageBox.Show("文件解压成功!", "恭喜", MessageBoxButtons.OK, MessageBoxIcon.Information);
                    }
                    else
                    {
                        MessageBox.Show("未找到正确的程序集!", "错误", MessageBoxButtons.OK, MessageBoxIcon.Hand);
                    }
                }
                else
                {
                    MessageBox.Show("该文件没有程序集!", "错误", MessageBoxButtons.OK, MessageBoxIcon.Hand);
                }
            }
            catch(Exception ex)
            {
                MessageBox.Show(ex.Message, "错误", MessageBoxButtons.OK, MessageBoxIcon.Hand);
            }
            

        } 

下面是这个小程序的完整的代码,需要的童鞋可以下载参考一下。点击下载
由此可见,如果仅仅想减小一下你的程序的体积,Sixxpack应该是个不错的工具,但是指望用它保护自己的代码,显然只能失望了。稍微懂点.net的,只要愿意花点时间琢磨,都能拿到你的原始程序。所以想保护自己代码,还是使用那些专业的加密混淆工具吧。不过感觉Sixxpack的思路确实很不错,有时间一定要好好看一下它具体的代码。
我最后用这个小程序得到了这个外挂的真正程序集。看了一下,忍不住破口大骂,原来是个骗局。百度搜了一下,果然骂声一片,竟然还真有不少童鞋上当了。不过这和本篇内容无关了,而且现在时间太晚了,等有时间一定要揭露他一下,也免得再有童鞋上当。

转载于:https://www.cnblogs.com/zhangzhu/p/3230396.html

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/493897.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

postgres与osm初步使用

layout: post title: postgres与osm初步使用 date: 2016-9-20 categories: blog tags: [地图开发] description:地图开发 本文主要包括以下内容 postgreSQL数据库,用来存放地图原始数据osm2pgsql 用来将osm地图数据导入到postgreSQL  OSM数据 OpenStre…

XxIJob入门-示例

一、部署 xxlJob (一) 下载地址, git clone 到本地。 http://gitee.com/xuxueli0323/xxl-job https://github.com/xuxueli/xxl-job (二) 插入 xxl_job 的sql脚本: 在项目的 /xxl-job/doc/db/tables_xxl_job.sql ,找到sql脚本&#xff0c…

华为数字化转型实践

来源:先进制造业数字化转型势在必行,这已成为所有企业CIO的共识。但在现实中,很多数字化转型计划还是陷入重重困难,其原因大多在于企业内部对数字化转型的认知还不够透彻。尤其是对于那些业务正处于发展和上升期的公司&#xff0c…

使用Excel VBA(快捷键)(加菜单)

将excel宏安全性调到中: 按altf11进入vba编辑器: 记住以下快捷键: F7 代码窗口 F4 属性窗口 ctrlR 工程资源窗口 F5 程序运行 TAb 代码缩进 SHIFTTAB 凸出 加菜单: 在excel表中按altf11进入代码窗口: 解释&#xff1a…

赛迪研究院发布《2018年中国自动驾驶产业发展及投资价值白皮书》!

来源:中国电子信息产业发展研究院10月19日,由北京市人民政府、工业和信息化部主办,工业和信息化部装备工业发展中心、中国电子信息产业发展研究院(以下简称“赛迪研究院”)等机构共同承办的“世界智能网联汽车大会”进…

瓦片地图与geoserver发布

本文主要包括以下内容 TileMill生成Tile影像金字塔(.mbtiles压缩文件)Mbutil(https://github.com/mapbox/mbutil)解压缩Apache HTTP Server(或tomcat) 建立web瓦片服务客户端调用( http://www.arcgis.com/home)测试 首先将数据…

AI手机报告 | 揭秘手机行业未来AI之路

来源:网易智能在10月19日上午举办的IDC中国数字化转型年度盛典的“人工智能与大数据”分论坛上,IDC(国际数据公司,International Data Corporation)联合旷视科技发布“AI手机”行业白皮书报告——《IDC手机行业白皮书&…

Flex 学习笔记------FLACC Crossbridge

FLACC & Crossbridge 前段时间在研究如何在Flex项目中处理图片的一些信息,比如获取图片的颜色通道,DPI信息等,搜索了半天还是一无所获。图像处理是一个比较复杂的过程,不过想来前端处理图像也是一个必然的趋势。 看看这个腾讯…

IOS之计算器实现

本文利用ios实现计算器app,后期将用mvc结构重构 import UIKitclass CalculViewController: UIViewController {IBOutlet weak var display: UILabel!var userIsInTheMiddleOFTypingANumber:BoolfalseIBAction func appendDigit(sender: UIButton) {let digitsender…

AI进军新药发现研究?这99页slides了解一下

来源:专知摘要:近些年,深度学习对许多研究领域产生了深远的影响,应用场景也十分宽泛。我们都知道在医疗领域,新药发现研究是高成本,低产出的,但是对推进医疗领域的发展起到至关重要的作用。今天…

HDU 4651 数论 partition 求自然数的拆分数

别人的解题报告&#xff1a; http://blog.csdn.net/zstu_zlj/article/details/9796087 我的代码&#xff1a; 1 #include <cstdio>2 #define N 1000203 const int mod 1e97;4 int p[N];5 void Partition()6 {7 p[0] 1;8 for(int n1; n < 1e5; n)9 { 10 …

IOS之笑脸app

ios笑脸app实现 import UIKitIBDesignable class FaceView: UIView {IBInspectablevar lineWidth:CGFloat3{didSet{setNeedsLayout()}}IBInspectablevar color:UIColor UIColor.blueColor(){didSet{setNeedsLayout()}}IBInspectablevar scale:CGFloat0.9{didSet{setNeedsLay…

15年来,自然语言处理发展史上的8大里程碑

来源&#xff1a;Deep Tech深科技自然语言是人类独有的智慧结晶。自然语言处理&#xff08;Natural Language Processing&#xff0c;NLP&#xff09;是计算机科学领域与人工智能领域中的一个重要方向&#xff0c;旨在研究能实现人与计算机之间用自然语言进行有效通信的各种理…

最短路径实现

主要工具 QGIS建立拓扑关系 Postgres存储数据表 Geoserver发布相关服务 QGIS建立拓扑关系 使用v.clean运行&#xff0c;并用DBManager即可以建立拓扑关系并导入数据库。 注意 QGIS2.16有数据溢出问题&#xff0c;使用QGIS2.14可以解决这个问题 Postgres存储数据表 导…

2019将成机器学习关键年:中美AI或有一战

作者 | Hussain Fakhruddin译者 | 大小非编辑 | Vincent 来源 | AI前线(ID&#xff1a;ai-front)导读&#xff1a;2019 年将是机器学习关键的一年。ML 已经成为全球数字转型的关键要素之一——到 2021 年底&#xff0c;累计投资预计将达到 580 亿美元。在企业应用领域&#xff…

深度 | IBM长文解读人工智能、机器学习和认知计算

来源&#xff1a;人工智能产业链联盟人工智能的发展曾经经历过几次起起伏伏&#xff0c;近来在深度学习技术的推动下又迎来了一波新的前所未有的高潮。近日&#xff0c;IBM 官网发表了一篇概述文章&#xff0c;对人工智能技术的发展过程进行了简单梳理&#xff0c;同时还图文并…

多变量线性回归

目前为止,我们探讨了单变量/特征的回归模型,现在我们对房价模型增加更多的特征, 例如房间数楼层等,构成一个含有多个变量的模型,模型中的特征为(x1,x2,…,xn) 增添更多特征后,我们引入一系列新的注释: n 代表特征的数量 x(i)代表第 i 个训练实例,是特征矩阵中的第 i 行,是一…

人工智能乌托邦 迪拜认为2071年人类应该这样生活!

来源&#xff1a;网易智能不同于硅谷老牌的科技力量&#xff0c;迪拜一直是独特的存在。他们日益崛起的科技实力正在被验证&#xff0c;无论是全面AI化的基础建设和城市治安力量&#xff0c;还是频频登上全球科技头条的机器人警察和空中出租车&#xff0c;迪拜试图摆脱很多人眼…

逻辑回归与正则化

在分类问题中,你要预测的变量 y 是离散的值,我们将学习一种叫做逻辑回归 (Logistic Regression) 的算法,这是目前最流行使用最广泛的一种学习算法。 在分类问题中,我们尝试预测的是结果是否属于某一个类(例如正确或错误)。分类问 题的例子有:判断一封电子邮件是否是垃圾邮件;判…

万字报告!一文看懂全球车厂的技术家底模块化平台

来源&#xff1a;智东西摘要&#xff1a;介绍模块化平台以及该平台对车企的重要意义&#xff0c;详解车企模块化平台布局。汽车的研发制造方式经历了手工作坊式到标准化流水线再到平台化&#xff0c;目前主流车企纷纷采取模块化平台方式。汽车模块化平台研发制造是指车企基于通…