Со времени создания топика много обсудили, во много м разобрались и много осталось за кадром. Решил подшить выкладываемый софт и линки

Инструменты:

dnSpy - бодрый декомпилятор и отладчик тут беты

Gray Wolf - DE-ObfuScatE / Edit IL(Live) / Add payloads / Edit attributes(public/privet) / Copy strong names signing on EXE/DLL
ReSharper 6.0 Build 2093 Pre-Release - Очень навороченый декомпилер, побробности --> ТУТ <--.
Рег-данные:

Reflector 8.3.3.115 - платный декомпилятор .NET 8.3.0.95 + (дополнение к нему)
Седьмая версия рефлектора - думаю все знают
Сборка Add-in'ов для Reflector - есть много полезных вещей
.Net ID 1.0.0.3 - определение защиты
DNiD by Rue - сигнатурный анализатор
Dotnet IL Editor (DILE)- Opensource дизассемблер и дебаггер
Xenocode Fox Code Analyzer- профайлер и дизассемблер
Reactor Decryptor 1.7 - что то декриптит, но что не понятно(с) zeppe1in
Simple Assembly Explor (SAE) - Assembler, Disassembler, Deobfuscator, IL editor and more...
DotNet Dumper 1.0 - Дампер .net'овских приложений. Подробное описание
Kurapica dotNET Tracer 1.1 - трейсер от известного автора инструментов для .net
ILSpy 1.0.0.481 - Opensource комбайн, на подобие SAE. Подробности тут
dotTrace Performance 4.0.665.4 - Неплохой трейсер для .Net приложений. Умеет делать трейсы не смешивая потоки как KDT. Умеет сравнивать трейсы двух запусков программы
Рег-данные:

Universal Fixer 1.0 - fix dumps after dumping them whit Dotnet Dumper or other similiar tools and will also fix nasty things: multiple assembly/module definitions, wrong extends, etc.
iMPROVE .NET Deobfuscator - деобфускатор


ConfuserDumper
ConfuserDelegateKiller
CodeCrackerTools: ConfuserMethodsDecryptor, ConfuserDelegateKiller, ConfuserStringDecryptor, MegaDumper, etc.

Статьи с хабры:
Защита .NET приложений - Субъективная теоретическая муть с хабры, выдаваемая за обзор обфускаторов(только для фанатов)
Как обмануть NET.Reflector - вот это уже годная статья, в которой рассматривается ручная обфускация в стихах и картинках
Взлом программ для чайников - ну не знаю...прописные истины, но приятно, что все это есть на русском языке и нормально оформлено
Реверс-инжиниринг обфусцированной сборки .NET - один только заголовок чего стоит. По сути статья информативная
Инъекции MSIL кода в стороннюю сборку при помощи Mono.Cecil. Реализация принципов АОП в NET
Избавление .NET программы от регистрации на примере BEM
Снимаем дамп объектов с памяти .Net приложения

Другое:
.NET Reflector v7.0.0.198 (C# Source by wangshy)
[url=http://lifeinhex.com/string-decryption-with-de4dot/]String decryption with de4dot[/url

-

Last edit: 2012-02-17, Links fixed. Jupiter]

| Сообщение посчитали полезным:

Tyrus
Jitdumper поможет http://bit.ly/wqL6Kf

| Сообщение посчитали полезным:

yanus0
без акка не пускает, можно здесь?

| Сообщение посчитали полезным:

sendersu
Лучше там зарегистрироваться.
--> Link <--

| Сообщение посчитали полезным: sendersu

Всем привет! Есть программа написанная на .Net. Закрыта Reactor 4.3.1.0. В общем поступаю следующим образом: Снимаю дамп памяти Net Dumper'ом, патчу полученный exe'шник reactor decryptor'ом, сверху Universal Fixer'ом. После всего пытаюсь деобфускатором открыть полученный экзешник в SAE. В процессе деобфускации в логе появляются ошибки: " Could not find any resources appropriate for the specified culture or the neutral culture...". Это значит нужно востанавливать таблицу импорта? Какими средствами это лучше сделать?

| Сообщение посчитали полезным:

kreolx
1. Вместо всех этих плясок с бубном попробуй de4dot
2. Дамп нужно снимать только в случае если decrypter не справится. В деобфускаторе SAE по умолчанию могут стоять лишние галки, поиграйся с настройками.

| Сообщение посчитали полезным:

Дампить надо, если донетовская сборка накрыта нативной оболочкой-пакером. Если этого нет, то смело в последний дедот

| Сообщение посчитали полезным:

kreolx, реактор запатчить можно, даже не снимая его, сначала деобфусцируй файл (не обязательно, чтоб он запускался), найди место, где надо патчить, потом по сигнатурам найди это место в оригинальном файле и патчи.

| Сообщение посчитали полезным:

Новинка на рынке докомпиляторов .NET
Free

Powerful, Free .NET Decompiler. Forever.
JustDecompile is a new, free developer productivity tool for easy .NET assembly browsing and decompiling. JustDecompile builds on Telerik's years of experience in code analysis and developer productivity tools. JustDecompile lets you effortlessly explore and analyze compiled .NET assemblies, decompiling code with the simple click of a button.

взять
http://www.telerik.com/products/decompiler.aspx

инсталятор красиво сделали, если все остальное также .....
http://rghost.net/36577350.view

| Сообщение посчитали полезным:

need help!
как получить тела методов из P1.dll ?
там Xenocod'ом пошифрованы строки и походу ресурсы, а сверху наложили DNGuard HVM чтобы пошифровать методы.
Декодировка методов идет через рантайм библу DNGuard'а - Os.dll
ни de4dot ни JitDumper мне не помог получить тела методов из P1.dll
--> Link <--

| Сообщение посчитали полезным:

Tyrus
Sentinel HASP Assembly DLL (hasp_net_windows.dll) тоже принимает участвие в движухе? ;)

| Сообщение посчитали полезным:

sendersu
Нет, хасп конверт с G1.dll я уже снял
а hasp_net_windows.dll просто в референсах P1.dll была

Интересная инфа по теме DNGuard

| Сообщение посчитали полезным:

Tyrus
нужен запускаемый комплект. P1 чот даж в рефлекторе не открыть.

-----
zzz

| Сообщение посчитали полезным:

zeppe1in
Это из-за DNGuard'а его не открыть
RVA методов указывают хз куда
но после прохода de4dot'ом по P1.dll - он в рефлектор грузится, только там все методы заменены на переходники в Os.dll (рантайм библиотека DNGuard'а), которая и производит выполнение методов

| Сообщение посчитали полезным:

Кто знает как редактировать ресурсы .net сборки???

| Сообщение посчитали полезным:

yanus0
навскидку
ildasm разобрали свою асемблю
использовать какойто редактор, например древний Resourcer for DotNet (когда-то шел вместе с Рефлектором)
ilasm собрали назад

| Сообщение посчитали полезным:

sendersu
в сборке ресурсов много потому ilasm не может собрать сборку.

| Сообщение посчитали полезным:

yanus0
если сборка не секретная, покажите, подрихтуем

| Сообщение посчитали полезным:

Сборка не секретная, пока отложил, зашел с другого боку. Если не получиться, то выложу. Спасибо за отзыв.
И да, нашел сорсы ildasm и ilasm. Не понятно почему нет еще аналога reshack для .Net...

| Сообщение посчитали полезным:

yanus0 пишет:
почему нет еще аналога reshack для .Net.
ет точно! ниша пустая!
думаю автор станет столь же известен как и автор ResHacker
(кстати о птичках - наткнулся на днях на ето - http://rammichael.com/resource-hacker-fx)

| Сообщение посчитали полезным:

yanus0,Radialix"ом можно править сборки
И от этого же разраба http://radialix.ru/index.php/resource-tools-overview ,сам правда не пробовал

| Сообщение посчитали полезным:

igorca пишет:
сам правда не пробовал
вот и зря - программа а) платная б) без ключа вообще не запускается

| Сообщение посчитали полезным:

sendersu, не скажешь, какое чудо висит на Radialix'е? Кстати, есть 2.14 с ключом.

| Сообщение посчитали полезным:

-Sanchez-
думается мне, что самое ценное под вмпротом.

| Сообщение посчитали полезным:

-Sanchez- пишет:
какое чудо висит на Radialix'е?
register.exe -> D2010
rt_*.exe -> VMP батенька

| Сообщение посчитали полезным:

sendersu->вот и зря - программа а) платная б) без ключа вообще не запускается
а)Ключи от Радиаликса подходят
б)Ключ можно нагуглить

| Сообщение посчитали полезным:

Подскажите,пожалуйста,имеется программа http://sderni.ru/112685
DotNetID и DNID не определяют обфускатор. При деобфускации с помощью SAE выдаёт ошибку при сохранении файла.Если патчить в SAE и потом попытаться сохранить-ошибка.Про возможность патчить в хекс-редакторе знаю Но а)интересует именно почему SAE не может сохранить эту сборку
б)что за обфускатор используется

| Сообщение посчитали полезным:

igorca
.NET Reactor поверх
использование Microsoft.WindowsCE.Forms, Microsoft.WindowsMobile.Utilities о чем то намекает

| Сообщение посчитали полезным: igorca

sendersu->.NET Reactor поверх
Странно,обычно при использовании net Reactora тела методов пустые,а здесь только строки пошифрованы.
Чем моджо попробовать расшифровать строки?Нужно только расшифровать,пусть даже сам екзешник будет нерабочим
sendersu->использование Microsoft.WindowsCE.Forms, Microsoft.WindowsMobile.Utilities о чем то намекает
О чём?Что программа для кпк я и так в курсе

| Сообщение посчитали полезным:

igorca
как минимум надо чтоб рядом валялись ети дллки (упомянутые)
а еще лучше - весь список из References (нестандартные только)

основная проблема какую вижу сейчас - exception "Version not supported: 3.5.0.0"
откуда оно? если из Mono.Cecil - тогда ой

| Сообщение посчитали полезным:

Версия старая - значит есть есть для нее инструменты, попробуй Reactor Decryptor.

| Сообщение посчитали полезным: igorca