Со времени создания топика много обсудили, во много м разобрались и много осталось за кадром. Решил подшить выкладываемый софт и линки

Инструменты:

dnSpy - бодрый декомпилятор и отладчик тут беты

Gray Wolf - DE-ObfuScatE / Edit IL(Live) / Add payloads / Edit attributes(public/privet) / Copy strong names signing on EXE/DLL
ReSharper 6.0 Build 2093 Pre-Release - Очень навороченый декомпилер, побробности --> ТУТ <--.
Рег-данные:

Reflector 8.3.3.115 - платный декомпилятор .NET 8.3.0.95 + (дополнение к нему)
Седьмая версия рефлектора - думаю все знают
Сборка Add-in'ов для Reflector - есть много полезных вещей
.Net ID 1.0.0.3 - определение защиты
DNiD by Rue - сигнатурный анализатор
Dotnet IL Editor (DILE)- Opensource дизассемблер и дебаггер
Xenocode Fox Code Analyzer- профайлер и дизассемблер
Reactor Decryptor 1.7 - что то декриптит, но что не понятно(с) zeppe1in
Simple Assembly Explor (SAE) - Assembler, Disassembler, Deobfuscator, IL editor and more...
DotNet Dumper 1.0 - Дампер .net'овских приложений. Подробное описание
Kurapica dotNET Tracer 1.1 - трейсер от известного автора инструментов для .net
ILSpy 1.0.0.481 - Opensource комбайн, на подобие SAE. Подробности тут
dotTrace Performance 4.0.665.4 - Неплохой трейсер для .Net приложений. Умеет делать трейсы не смешивая потоки как KDT. Умеет сравнивать трейсы двух запусков программы
Рег-данные:

Universal Fixer 1.0 - fix dumps after dumping them whit Dotnet Dumper or other similiar tools and will also fix nasty things: multiple assembly/module definitions, wrong extends, etc.
iMPROVE .NET Deobfuscator - деобфускатор


ConfuserDumper
ConfuserDelegateKiller
CodeCrackerTools: ConfuserMethodsDecryptor, ConfuserDelegateKiller, ConfuserStringDecryptor, MegaDumper, etc.

Статьи с хабры:
Защита .NET приложений - Субъективная теоретическая муть с хабры, выдаваемая за обзор обфускаторов(только для фанатов)
Как обмануть NET.Reflector - вот это уже годная статья, в которой рассматривается ручная обфускация в стихах и картинках
Взлом программ для чайников - ну не знаю...прописные истины, но приятно, что все это есть на русском языке и нормально оформлено
Реверс-инжиниринг обфусцированной сборки .NET - один только заголовок чего стоит. По сути статья информативная
Инъекции MSIL кода в стороннюю сборку при помощи Mono.Cecil. Реализация принципов АОП в NET
Избавление .NET программы от регистрации на примере BEM
Снимаем дамп объектов с памяти .Net приложения

Другое:
.NET Reflector v7.0.0.198 (C# Source by wangshy)
[url=http://lifeinhex.com/string-decryption-with-de4dot/]String decryption with de4dot[/url

-

Last edit: 2012-02-17, Links fixed. Jupiter]

| Сообщение посчитали полезным:

yanus0
Да, но я компилил проект с копированием локально сборок из GAC и запускал на машине, где этот компонент не установлен - тоже на удивление все работало.
Поскольку лицензия на Рантайм != лицензия Дизайнтайм, то возможен вариант, что при компиляции сборки копируются не из GAC. Проверю, откуда копируются сборки.
Я вас правильно понимаю, что если сборка в ГАК-е, то при ее изменении валидность StrongName не проверяется?

| Сообщение посчитали полезным:

сделать грязное дело со сборкой, переподписать ее и через gacutil переустановить, чем не выход

| Сообщение посчитали полезным:

iggvwh пишет:
Я вас правильно понимаю, что если сборка в ГАК-е, то при ее изменении валидность StrongName не проверяется?
Да.

| Сообщение посчитали полезным:

drone
судя по всему в моем случае это и не требуется.
К текущей задаче не относится, но все же: встречался ли кому-нибудь софт, который бы переподписывал сборку и каскадно менял ссылки во всех зависимых сборках? Причем если зависимые сборки подписаны - делал аналогичную операцию?

| Сообщение посчитали полезным:

iggvwh пишет:
К текущей задаче не относится, но все же: встречался ли кому-нибудь софт, который бы переподписывал сборку и каскадно менял ссылки во всех зависимых сборках? Причем если зависимые сборки подписаны - делал аналогичную операцию?
Это оооооооооооочень большой геморой и после 2-3 попыток я даже не пытаюсь так делать. Делаю так:
1. Патчу сборку, деобфусцирыю и т.д.
2. Декомпилирию через ildasm оригинальный файл, сохраняю из него строгую подпись.
3. Декомпилирую патченный файл, добавляю к нему подпись из оригинального, собираю ilasm и добавлю в реестр параметр для отмены проверки строго имени в этой сборки..
Этого хватает в 99% случаях!!!

| Сообщение посчитали полезным:

yanus0
А можно подробней, в чем гемор? Насколько я представляю главный вопрос - построить дерево зависимостей... Единственный трабл, который я вижу на поверхности - ситуация, когда например 2 сборки ссылаются друг на друга (на практике такого не видел). Ну а дальше - уже технические вопросы, которые думаю можно успешно решить с помощью той же Mono.Cecil.
По вашим пунктам вопрос: если вы все равно убиваете верификацию строгого имени в модифицированной сборке - зачем нужны пункты 2 и частично 3?

| Сообщение посчитали полезным:

iggvwhГеммор возникает тогда, когда переподписав программа перестает работатать и нужно смотреть ВСЕ сборки, чтобы найти проблему.

Пункты 2 и 3 нужны, чтобы сборка нормально грузилась и была видна другим сборкам. Сначала убиваю, а потом востонавливаю.
Вопрос к остальным, может кто-то сталкивался: как отключить проверку строго имени в приложении aspx? Через bypassstrongame в реестре не помогает...

| Сообщение посчитали полезным:

yanus0 пишет:
как отключить проверку строго имени в приложении aspx?
хз конечно, aspx не видел, да и обычные сборки через реестр не отключалась проверка. зато отключалась после установки
Microsoft .NET Framework 3.5 Service pack 1 http://www.microsoft.com/download/en/details.aspx?id=25150

-----
zzz

| Сообщение посчитали полезным: yanus0

iggvwh, сходите на board.b-at-s.info и скачайте strong name helper (автор whoknows), он позволит вам сделать то, что вы описали

| Сообщение посчитали полезным:

PE_Kill пишет:
BAHEK кряка не рабочая, выдает что версия устарела и идет обновляться

Death только недавно пофиксил -> http://rghost.ru/35672232

Screen:
http://i.lulzimg.com/a6a68b4659.png

| Сообщение посчитали полезным:

Никто не сталкивался с защитой LogicNP.CryptoLicensing?
SnD Dumper берет, но столько мусора, что валит приложение

| Сообщение посчитали полезным:

Во-первых, где жертва? Во-вторых, de4dot пробовали https://github.com/0xd4d/de4dot/downloads?

| Сообщение посчитали полезным: icerix

а как расковырять файл, накрытый реактором с опцией "Native EXE File"? де4дот не хочет

| Сообщение посчитали полезным:

сдампи сначала его - dotnet dumper в шапке

| Сообщение посчитали полезным: lolwut98

drone пишет:
сдампи сначала его - dotnet dumper в шапке
сдампил. как теперь его профиксить? так же, как и обычные программы? или для дотнета нужно что-то другое?


upd: увидел фиксер. щас попробую профиксить
upd[2]: профиксил - рефлектор и де4дот так же отказываются принимать этот файл

| Сообщение посчитали полезным:

Пожалуйста посмотрите файлик http://www.megaupload.com/?d=GP4V8U3L на предмет используемого обфускатора. .Net ID, DNiD by Rue, PEiD, DiE ничего не находят. Заранее спасибо.

| Сообщение посчитали полезным:

AlexandrK
походу вот это http://www.deepseaobfuscator.com/
а не всё ли равно

-----
zzz

| Сообщение посчитали полезным: AlexandrK

zeppe1in

Спс. А как вы определили если не секрет? Какой софт использовали или по личному опыту?
И действительно оказалось все равно, обошелся и без деобфускатора

| Сообщение посчитали полезным:

AlexandrK пишет:
А как вы определили если не секрет?
на гуглил
ldtoken pop obfuscator

-----
zzz

| Сообщение посчитали полезным:

dotNET Tracer 2.0





--> Link <--

| Сообщение посчитали полезным: BEZBILETA, yanus0

Airenikus пишет:

Eazfuscator.NET

Deobfuscator бы под это дело

Автоматического деобфускатора пока нет, но разобрался, как оно устроено и как заставить работать защищенную им отреверсенную и повторно скомпиленную сборку. Декодер строк для него тоже довольно просто сделать.

| Сообщение посчитали полезным:

Enclave,
Как же нет ?.. Последняя версия de4dot отлично работает, и строки расшифрует и код почистит... и переименует все как надо....

п.с: 1.4 падала на расшифровки строк и приходилось ручками... а сейчас все хорошо....

| Сообщение посчитали полезным: Enclave

Fallout

У меня то нет( de4dot посмотрю, я как то даже не интересовался, сам искал как и что. В основном со строками и чтобы сборка работала после изменения.

| Сообщение посчитали полезным:

А по MaxToCode выше версии 3.40 ничего ни у кого нет?
а то bigmouse остановился на 3.40 и на этом всё и закончилось?

| Сообщение посчитали полезным:

Tyrus
можно таргет? а то никогда не видел этот MaxToCode.
upd
по ссылке все линки дохлые. посты 2009 года

-----
zzz

| Сообщение посчитали полезным:

zeppe1in
да примеров то в сети много
вот например: --> Link <--

а на моем таргете как я сейчас понял уже не MaxToCode, а DNGuard HVM...

| Сообщение посчитали полезным:

Иногда детекторы путают MaxToCode с reactor'ом =)

| Сообщение посчитали полезным:

Tyrus пишет:
вот например: --> Link <--
вчера глянул, все 3и штуки как раз .net reactor

| Сообщение посчитали полезным:

Вообще MaxToCode мертвый проект, демка не смогла запротектить фреймворк4.0.

| Сообщение посчитали полезным:

Ну у меня точно был MaxToCode - рантайм длл-ка даже в ReMax грузилась и находила зависимые защищенные длл-ки, которые через нее запускались.
а сейчас DNGuard HVM - по нему вообще пока похоже ничего нет.

| Сообщение посчитали полезным: