一、查看程序类型PE32 无壳,库中显示其为.NET库,故为C#编写的程序,用dnspy打开运行程序二、用dnspy打开1.定位关键代码段左侧导航栏再此程序中逐个查看,最终再02000003中找到关键代码段发现其定义个多个函数逐个分析2.查看各个函数(1)private static int ᜀ(int A_0, int A_1)定义了一个数组,将输入的两个参数异或后返回(2)private static string ᜀ(string A_0)srting()函数将传入的参数,进行MD5加密后返回(3)private static void ᜀ(string A_0, int A_1, ref string A_2)第65行,括号内的第一个单独的“.”,调用了第一个函数int()(可能因为dnspy反编译显示不完整)将输入字符串与上面定义的数组进行逐位异或,得到的结果通过第三个参数A_2返回(4)private static void ᜀ(string[] A_0)对字符串a= "CreateByTenshine"进行一系列处理+调用第二个函数string()进行md5加密后,最终与
Norman1z