我们来纠结下关于源代码的问题，很多人辛辛苦苦写完程序之后，很容易的就被人还原出源代码，或者被破解掉，导致原作者会有一些损失。有人会说“那你为什么要玩破解？”，我玩破解只是兴趣爱好，我一贯的观点：“要去防止如何被逆向，为何不先自己弄清楚最基本的原理，然后再去更好的保护自己的程序，写出更健壮的程序”。还就是关于开源的问题，这个问题暂时不纠结，这不是本文的重点。

XenoCode对于玩.NET 的朋友来说是熟悉不能再熟悉的玩意儿了，很多程序都是在他的保护之下。如果当你遇到一个由它保护的软件需要注册的时候，是不是有冲动想破解它？今天就说说关于它的脱壳还原。首先我们要了解它的原理，可能是需要保护自己软件的朋友最常用的混淆工具，他的流程混淆算法（有的叫做 控制流程模糊，其实原理都一样）是怎样的呢。

最近有些滴油希望我能在发布一个关于图滴的新版本，老版本都被河蟹，礼拜天花了点时间看了看，也还是可以破解的。 这次没有从PC客户端去研究（因为上次发布图滴，估计是把嘀咕官方搞郁闷了，结果API关掉了，囧），而是从手机客户端去研究，因为嘀咕的手机客户端比较多，我研究了SB，WM，以及iphone版的应用程序，因为这些个客户端都是被支持发图的，在研究过程中发现WM跟SB版的只支持GPRS发图，这是一个让人纠结的事情，具体的看了下WM版的程序，它的API都找到，由于升级了VS，所以WM开发所需SDK没有安装，没法去测试，以后装了之后再去具体的看看。

最近几天特忙，没什么时间写博客，难得现在有点时间。今天，公布一个封装的处理与eterm服务器的通讯类（通过截获数据包逆向分析它的通信协议而编写的类）因为放着有一段时间了，目的在于研究它的通信协议，一直没时间继续在上面研究，这里公布底层通信的类。代码仅提供参考。

private const int CODEPAGE_GB2312 = 0×51c8;
public const byte MSG_CTRL_ANSWER_NO = 0×88;
public const byte MSG_CTRL_ANSWER_YES = 0×87;
public const byte MSG_CTRL_CLOSE_CONNECTION = 0×89;
public const byte [...]

   中秋，跟同事一起聚会。玩到午夜回来，准备上火兔嘀咕几句。 发现有人问我“图嘀怎么不能发图了？” （注：图嘀，以前做的一个小工具，用来突破限制发图的。呵呵）
心里就嘀咕，火兔把我辛辛苦苦做的图嘀和谐了？ 马上登陆图嘀，果然发送失败。 然后某客户端软件也跟着跟新，以前的版本无法使用。
一连串的事情证明，图嘀确实被和谐了，火兔做了加密处理，也就是说不让我们发图片。 但是我这人就是喜欢较劲。于是熬夜奋战，解决了问题。
遇到被封锁的问题，习惯性的想到火兔一定在API上做了手脚，果不其然，抓包看究竟。
如图所示：

在发送嘀咕的时候程序会事先向LoveDiguVal 发送一个请求。然后会得到一个字符窜：
 

看到这字符窜，有点莫名其妙，于是邪恶的连续刷新好几次，每次得到的字符窜都是不规则的字符窜（包括长度）。 看到这里，心里开始嘀咕，未必遇到加密高手了？
于是连续抓了好几个包，开始分析，准备从获取的字符窜中入手，以获取有些有效的信息。
以下是获取的字符窜（抓了４组）：

228  vxi  738  bkof  1296  an  696  6510　emb（456  b  738  mcr  1134  sio  928  8680qg 1769 xgm）
228  opxc  738  1296  z   696  fplxxh 6499 eeho （456  irckph 738 1296  pd 609 enkwdsar 8665 comr 717 mtg）
228  bt  738  zv  1296  rl  696  nbu 3028 heg（456  mpvqknkks  738  [...]