《某东抢购侠的逆向与暗桩查找外篇》以程序猿的角度分析 去除暗藏的返利cookies

作者偷偷加返利，让我很不爽，所以上来写写自己的逆向过程。。

进程直接dotnetdump 京东抢购侠.exe出来几个DLL，然后如下图将DLL重命名为原始名称，方便识别。

还有些同学不知道dotnetdumper是什么，下面分享一下，总共两个版本~
DotnetDumper1版.rar (9.76 KB, 下载次数: 8)

2015-1-20 23:49 上传

点击文件名下载附件

DotnetDumper2版.rar (65.26 KB, 下载次数: 6)

2015-1-20 23:49 上传

点击文件名下载附件

放入.NET反编译工具中查看代码，发现Nie.Launcher.dll只是调用了：京东抢购侠.dll中的run方法来启动主程序窗体。所以直接丢弃Nie.Launcher.dll

反编译可以看到，窗体启动之前，先进行了授权等各种检测，之后enable了服务器消息接收线程（接收七侠客发来的各种消息，里面有前面那位坛友说的各种后门和exec执行监控，直接注释此行，即可屏蔽相关代码的执行），最后启动了主窗体。

为了方便，直接把:京东抢购侠.dll导出为源代码项目，

之后载入VS中编译，设置输出类型为：window应用程序（这样即可把京东抢购侠.dll直接变为京东抢购侠.exe执行），当然还要修改一下MAIN方法，任何程序都是从MAIN开始的嘛。。下图是去除授权检测和服务器消息接收后的启动方法。

之后将Nie.Management.dll也导出来，里面有license.cs等相关代码，因为是前几天改的代码，具体改了些什么都忘记了。。好像还有一个程序运行一会就自动关闭的现象，是因为作者在某个静态构造方法那里加了一个检测窗体标题和其他信息的线程，因为静态构造方法会随程序启动而别调用，继而该线程也就起来了，解决方法是在构造函数里注释掉这个线程的启动。

**************

今天在学习作者的代码时，无意间发现作者居然偷偷在京东账号访问京东网站时加入了自己的返利！这个让我很气愤。。你居然卖软件收了钱，还要拿我们的返利。。贴个图证明一下

釜底抽薪，直接把cps.cs从项目中排除即可，这样就不会被编译进程序里面。

然后编译，报错两处调用cps的地方，直接删除掉，这样抢购侠就干净多了，`(*∩_∩*)′

转自吾爱

先膜拜下恒大的教程。然后回头慢慢仔细的学习。。。

没得说的好啊，继续学习

原来是这么玩的，终于懂了

跟踪恒大老师学习，道路丰富。

不是看的很懂，先去查找下资料

膜拜.NET的。

Net程序的难点是不是在脱壳反混淆呢?

学习了，谢谢分享，一步步好好跟着学

感谢分享，努力学习中