de4dot 사용하기

.NET 난독화 해제를 위한 도구 de4dot에 대한 기록입니다.

 

 

 

de4dot

• C#으로 작성된 오픈소스 .NET deobfuscator 및 unpacker
• 문자열 등 대부분의 난독화는 완전히 복원 가능하지만 심볼 이름을 변경한 것은 복원 불가능
• 무료지만 공식(?)적인 지원은 하지 않고 오픈소스이니 직접 업데이트할 수 있습니다.
• Agile.NET (aka CliSecure), .NET Reactor, SmartAssembly 등에 대 난독화 해제할 수 있습니다.
• de4dot github: https://github.com/de4dot/de4dot

 

 

[오류 및 해결 예시]

de4dot -f <target_file> -o <renamed_file> 을 통해 난독화 해제해주려 했는데 실패했습니다.

난독화 해제 실패

다른 분석가분은 동일 파일을 동일 de4dot 버전으로 난독화 해제를 하셨더라고요

그래서 알아보다 난독화 방식을 지정해주니 난독화 해제가 가능했습니다.

(참고: MalwareAnalysisForHedgehogs, "Malware Analysis - When De4dot fails, Removing Anti Tamper from NullShield", 2018.01.28, https://www.youtube.com/watch?v=1RNcZpBLZHs)

 

.NET Reactor 3.x로 난독화된 바이너리라 dr3 옵션을 지정해주었고 깔끔하게 deobfuscator된 것은 아니지만 그래도 성공했습니다.

de4dot <target_file> -p dr3 -o <renamed_file> 

 

 

de4dot 주요 옵션

[File option]

 

• -f
  • 복호화할 .NET 어셈블리 파일 지정
    
    
• -o
  • 복호화한 결과를 저장할 디렉터리/파일
    
    
• -p
  • 특정 난독화 프로파일(난독화 방식) 선택
    
    
• -strtypp TYPE
  • 암호화된 문자열을 복호화
  • TYPE: xor, base64, custom 등
    
    
• -strtok METHOD
  • 변형된 문자열을 복호화
  • METHOD: xor, reverse, custom 등

 

 

[Deobfuscator option (일부)]

 

• Type df (Dotfuscastor)
  • 코드 난독화 도구 Dotfuscator로 난독화된 어셈블리를 처리
    
    
• Type dr3 (.NET Reactor 3.x)
  • 난독화 도구 .NET Reactor 3.x 버전에 해당하는 난독화 및 protect 방식을 처리
    
    
• Type dr4 (.NET Reactor 4.x)
  • 난독화 도구 .NET Reactor 4.x 버전에 해당하는 난독화 및 protect 방식을 처리
    
    
• Type go (Goliath.NET)
  • 코드 난독화 도구 Goliath.NET로 난독화된 어셈블리를 처리할 때 사용

 

 

적힌 내용뿐만 아니라 다른 여러 난독화 도구를 직접 지정하여 난독화를 수행할 수 있습니다.