| Сейчас на форуме: _MBK_, Magister Yoda (+5 невидимых) |
 |
eXeL@B —› Основной форум —› немогу понять что сделали со сборкой .Net |
| Посл.ответ | Сообщение |
|
|
Создано: 11 января 2010 15:21 · Поправил: alexeyshevchenko · Личное сообщение · #1 При открытии в разных декомпиляторах вроде( Decompiler.NET, .NET Reflector ... пробовал окало 20 штук) выподает сообщение например при использовании 9Rays : Exception message: Cannot resolve record in TypeDesc reference table. Token:0x02003fff Method that throws: \u15.\u56 \u15(Int32, Boolean) Declaring type: \u15.\u5\u12 Declaring assembly: \u15.\u5\u12, NineRays.ILOMD, Version=5.4.6.0, Culture=neutral, PublicKeyToken=59d4bed864488801 StackTrace: ..... при использовании Reflactor выдаёт : выход за приделы диапозона значений ... Собственно вопрос состоит в том как определить что сделали со сборкай . Создаётся впечатление что её упаковали если так то как её можно распаковать? Пробовал много депаков ни один не помог   53af_11.01.2010_CRACKLAB.rU.tgz - dll
 |
|
|
Создано: 11 января 2010 17:44 · Личное сообщение · #2 юзай PEVerify, например в Simple Assembly Explorer есть. он говорит [MD](0x80131205): Error (Structural): Table=0x00000002, Col=0x00000003, Row=0x00000002, has coded rid out of range. дальше берёш CFF explorer, открываеш нужную таблиу, нужную строку и правиш нужное поле. там типо FFFC меняеш на 0. всё поправиш классы будут открываца в рефлекторе, а певерифи другие ошибки тебе покажет. ----- zzz |
|
|
Создано: 11 января 2010 18:08 · Личное сообщение · #3 Не так всё просто. Можно исправить классы, итд, но большинство методов не содержит IL кода. Защита основана на x86 коде, типа NecroBits в Eziriz .NET Reactor. x86 код начинается на RVA=2A68: Code:
Там думать надо, а мне сегодня не хочется.. |
|
|
Создано: 11 января 2010 18:21 · Поправил: zeppe1in · Личное сообщение · #4 DarkWolf пишет: Не так всё просто точняк. походу это CodeVeil 3. а он хукает компиляцию методов и расшифровывает ил код на лету. готовых решений по распаковке я не встречал. а что такое NecroBits? ----- zzz |
|
|
Создано: 11 января 2010 18:32 · Личное сообщение · #5 zeppe1in: Я CodeVeil 3 не разбирал, но по описанию очень похоже. "NecroBit is a powerful protection technology which stops decompilation. NecroBit replaces the CIL code within methods with encrypted code." |
|
|
Создано: 12 января 2010 12:36 · Личное сообщение · #6 последняя версия {smartassembly} оптимизирует библиотеку так что в ней можно копаться при помощи рефлекта но действительно нет кода ни у одного метода .... кроме мусора .....DarkWolf подскожи мне ламеру как(чем) ты посмотрел x86 код |
|
|
Создано: 12 января 2010 17:36 · Личное сообщение · #7 alexeyshevchenko пишет: подскожи мне ламеру как(чем) ты посмотрел x86 код Если ты "ламер", то лучше сразу пиши в запросах на взлом..  Берёшь ИДА, грузишь библиотеку, в диалоге "Load a new file" указываешь "Portable executable for 80386", находишь адрес 00402A68 и нажимаешь "C". ИДА проанализирует часть кода, которая не зашифрована. А дальше будет геморой. |
|
|
Создано: 18 января 2010 00:13 · Поправил: alexeyshevchenko · Личное сообщение · #8 в запросах на взлом писал , видимо тут нет специалистов такова уровня поэтому приходится самому разбираться, DarkWolf подскажи а как в ИДА можно править asm и вообще можно это делать? |
|
|
Создано: 18 января 2010 11:32 · Личное сообщение · #9 Править лучше не в иде, ибо там геморно включается меню патча да и патчится коряво, а в той же ольке/хуёв. Почитай статьи для новичков лучше с такими вопросами. |
|
eXeL@B —› Основной форум —› немогу понять что сделали со сборкой .Net |
Для печати