.net的程序的逆向分析。

背景：碰到一個由c#寫的exe,因爲以前沒有分析過.net的程序，記錄下分析流程。

1)peid加載判斷類型，能夠看出沒有加殼。

 

2)搜索c#的反編譯以及調試工具。
1.NET.Reflector以及reflexil(安裝reflexil.for.Reflector.2.1.AIO.bin)
2.使用reflexil進行修改指令後導出。(沒法運行，蛋疼！)
3.下載ILSpy_with_debugger_2_2帶ILSpy.Debugger.Plugin的版本。
1)進行動態調試，能夠顯示reg的數據,可是單步進去後沒法顯示蛋疼。
4.下載dnSpy進行動態調試，但是顯示，在最終的獲取字符串的地方下斷驗證。
數組在4844位獲取就是md5所須要的字符串。
5.進行驗證。

 

參考：
http://www.cnblogs.com/yeaicc/p/ILSpyWithDebugger.html
https://www.52pojie.cn/thread-271347-1-1.html
http://www.aneasystone.com/archives/2015/06/net-reverse-decompiling.html