使用反射器反编译

Question

我已经完成了代码的反编译。但它不是显示字符串，而是显示一个负数。如何找到原始字符串？
我的反编译代码是这样的：

string str = .(-812265445);  

应该是：

string str = "My string"; 

请帮忙
请注意，当我添加对项目和调试的引用时，它可以看到字符串“我的字符串”不是 .(-812265445);
当我使用另一个反汇编程序时，它显示：

string str = ACK. STX(-812265445);  

我客ACK和STX都是二进制字符。

非常感谢

对您的回答的回应是我从 ILSpy 拍摄的两张照片，以便更好地想象：

Answer 1

字符串可能是加密的……或者它是 Reflector 中的一个错误。如果它已加密，这将无济于事（调试器是您最好的选择，因为加密器会在您的应用程序使用字符串之前注入解密代码）。

使用 Reflector 和 ILDasm 在已编译的程序集中查找字符串：

1. 打开 Reflector 并找到您正在调查的成员/方法
2. 将语言从 C# 更改为 IL（以查看 ILDASM 会显示什么）
3. 验证字符串仍然没有正确显示

4. 获取指令旁边的行标签（例如：L_0060: ）

5. 在 ILDasm 中打开您的程序集并找到您正在调查的方法

6. 从 Relector 找到指令标签（应该与 IL_0060: 相同的行）
7. 如果此处的字符串仍然不正确，则该字符串已被加密

要验证程序集中存储了什么字符串，您可以执行以下操作：

1. 在 ILDasm 中，关闭显示该方法的 IL 的对话框
2. 转到查看菜单并检查显示令牌
3. 在 ILDASM 中再次打开该方法，这一次当您找到您的代码行时，它后面应该有一个标记，如 /* 70002C92 */（当然您的数字会不同）但这是字符串所在的位置在程序集的用户字符串元数据堆中。
4. 转到视图 -> 元信息并检查 Raw:Heaps
5. 转到视图 -> 元信息并显示！
6. 在这个新对话框中，转到“查找”菜单并将您的令牌放入其中，然后单击“查找”

这将带您进入用户字符串元数据堆中的条目，并准确显示二进制文件中编译的字符串。

Answer 2

请尝试Telerik Decompiler

Answer 3

反编译不会返回原始代码。

您的示例看起来像一个简单的“使用字符串地址加载寄存器，用它做一些事情......”。

编译器不会将字符串（或任何数据）与指令内联，数据、字符串、数字都被移动到适当的部分。由于这是一个字符串常量，它很可能被移到了 .data 或 .rodata 部分。

将您的 -812265445 数字转换为十六进制会更清楚一些，因为它变成了 0xCF95D01B，这是一个存储内容的有效地址。如果您的输出基数是带符号的十进制（看起来很常见），那么地址通常会以巨大的负值告终。将它们转换为十六进制或更改您的默认值以让您看到（或更容易理解）它们指向的位置。

L_0012: ldc.i4 -812265440  (0xCF95D020)
L_0017: call string ::(int32)
L_001c: stloc.0
L_001d: ldc.i4 -812265445  (0xCF95D01B)
L_0022: call string ::(int32)
L_0027: stloc.s str5

从此（您在上面的评论），很明显在第 0x12 行（L_0012）上有一个“带有字符串地址的加载寄存器”，调用 'string::...' 来转换它（我想）然后存储将生成的“字符串”指针放在某处。

然后在第 0x1D-0x27 行再次执行此操作。也许那里有一个 4 字节长的 const char 字符串（因为第一个和第二个加载 (ldc.i4) 地址相隔 5 个单位。（4 个字符 + 0 个终止符）。

使用您的调试器或任何您必须在显示的地址处显示内存的东西（尽管使用当前程序反汇编中实际存在的任何内容）并查看那里有什么。探索！