Со времени создания топика много обсудили, во много м разобрались и много осталось за кадром. Решил подшить выкладываемый софт и линки

Инструменты:

dnSpy - бодрый декомпилятор и отладчик тут беты

Gray Wolf - DE-ObfuScatE / Edit IL(Live) / Add payloads / Edit attributes(public/privet) / Copy strong names signing on EXE/DLL
ReSharper 6.0 Build 2093 Pre-Release - Очень навороченый декомпилер, побробности --> ТУТ <--.
Рег-данные:

Reflector 8.3.3.115 - платный декомпилятор .NET 8.3.0.95 + (дополнение к нему)
Седьмая версия рефлектора - думаю все знают
Сборка Add-in'ов для Reflector - есть много полезных вещей
.Net ID 1.0.0.3 - определение защиты
DNiD by Rue - сигнатурный анализатор
Dotnet IL Editor (DILE)- Opensource дизассемблер и дебаггер
Xenocode Fox Code Analyzer- профайлер и дизассемблер
Reactor Decryptor 1.7 - что то декриптит, но что не понятно(с) zeppe1in
Simple Assembly Explor (SAE) - Assembler, Disassembler, Deobfuscator, IL editor and more...
DotNet Dumper 1.0 - Дампер .net'овских приложений. Подробное описание
Kurapica dotNET Tracer 1.1 - трейсер от известного автора инструментов для .net
ILSpy 1.0.0.481 - Opensource комбайн, на подобие SAE. Подробности тут
dotTrace Performance 4.0.665.4 - Неплохой трейсер для .Net приложений. Умеет делать трейсы не смешивая потоки как KDT. Умеет сравнивать трейсы двух запусков программы
Рег-данные:

Universal Fixer 1.0 - fix dumps after dumping them whit Dotnet Dumper or other similiar tools and will also fix nasty things: multiple assembly/module definitions, wrong extends, etc.
iMPROVE .NET Deobfuscator - деобфускатор


ConfuserDumper
ConfuserDelegateKiller
CodeCrackerTools: ConfuserMethodsDecryptor, ConfuserDelegateKiller, ConfuserStringDecryptor, MegaDumper, etc.

Статьи с хабры:
Защита .NET приложений - Субъективная теоретическая муть с хабры, выдаваемая за обзор обфускаторов(только для фанатов)
Как обмануть NET.Reflector - вот это уже годная статья, в которой рассматривается ручная обфускация в стихах и картинках
Взлом программ для чайников - ну не знаю...прописные истины, но приятно, что все это есть на русском языке и нормально оформлено
Реверс-инжиниринг обфусцированной сборки .NET - один только заголовок чего стоит. По сути статья информативная
Инъекции MSIL кода в стороннюю сборку при помощи Mono.Cecil. Реализация принципов АОП в NET
Избавление .NET программы от регистрации на примере BEM
Снимаем дамп объектов с памяти .Net приложения

Другое:
.NET Reflector v7.0.0.198 (C# Source by wangshy)
[url=http://lifeinhex.com/string-decryption-with-de4dot/]String decryption with de4dot[/url

-

Last edit: 2012-02-17, Links fixed. Jupiter]

| Сообщение посчитали полезным:

igorca
лови. вроде запускается даже.
http://www.sendspace.com/file/hqese0
косяк был в том что моно не может найти mscorlib.dll
запатчил моно
-Sanchez-
можно было бы проверить и убедится в том, что Reactor Decryptor никогда строки не декриптил.

-----
zzz

| Сообщение посчитали полезным: igorca

Да, мой косяк, ни разу не использовал Reactor Decryptor - жертва не попадалась.

| Сообщение посчитали полезным:

zeppe1in
Спасибо!Sendersu,кстати,тоже строки привёл в читаемый вид
А dll"кой пропатченной не поделитесь?

| Сообщение посчитали полезным:

igorca
http://www.sendspace.com/file/zsktam дллка подписана так что весь комплект что бы не парится.
а вообще достаточно запустить хоть сае хоть дефодот в студии и сразу видно где исключение бросается и как его исправить. Мне собрать проект труднее было чем пофиксить моно)

-----
zzz

| Сообщение посчитали полезным: igorca

Airenikus пишет:
Дампить надо, если донетовская сборка накрыта нативной оболочкой-пакером. Если этого нет, то смело в последний дедот
Каким образом можно определить накрыта или нет ?

| Сообщение посчитали полезным:

Geograf
Открой в рефлекторе, если рефлектор напишет, что это не .net значит нативный пакер сверху.

| Сообщение посчитали полезным:

yanus0
Спасибо. Какую версию рефлектора взять ?

| Сообщение посчитали полезным:

Geograf
В гугле или на предыдущих страницах

| Сообщение посчитали полезным:

В шапке есть Reflector 7.0.0.353 Beta 3, .NET Reflector v7.0.0.198 (C# Source by wangshy). Они не подходят ?

| Сообщение посчитали полезным:

Geograf
не нужно спрашивать, нужно пробовать.

| Сообщение посчитали полезным:

yanus0
Посоветовать не можете ?

| Сообщение посчитали полезным:

Можем,не ленитесь
Geograf->В шапке есть Reflector 7.0.0.353Beta 3, .NET Reflector v7.0.0.198(C# Sourceby wangshy). Они не подходят ?
С чего вы так решили?Вы их хоть скачали и запустили?Или совета ждёте?

| Сообщение посчитали полезным:

Последний 7.5.1.13

| Сообщение посчитали полезным:

Ковыряясь с рефлекторе, нашел редактор ресурсов в reflexil!!!!!!! версия 1.3 0_о а то уж думал сам писать) Чтобы его открыть нужно перейти в ресурсы и активировать reflexil. Можно сохранять и добавлять.

| Сообщение посчитали полезным: -Sanchez-

de4dot-1.7.0 --> Link <--
New version: 1.7.0
MaxtoCode is now supported
Full Eazfuscator.NET support (static decryption of strings, assemblies, resources)
Added CF 2.0 and 3.5 assembly search paths

| Сообщение посчитали полезным: Oott, yanus0, r_e, igorca

--> de4dot-1.7.1 <--

| Сообщение посчитали полезным: igorca

de4dot 1.7.1:

Added support for latest Eazfuscator.NET (3.3)
MaxtoCode name regex was updated
Fixed two renamer bugs

| Сообщение посчитали полезным: igorca

Vovan666 откуда ты это достал? Я что-то не нашёл )

new:
Vovan666 пишет:

http://forum.tuts4you.com/topic/27340-de4dot-deobfuscator-for-net/
а я подумал на github'е есть.

| Сообщение посчитали полезным:

http://forum.tuts4you.com/topic/27340-de4dot-deobfuscator-for-net/

| Сообщение посчитали полезным: NikolayD, sendersu

Всем доброго времени суток.
Начну, пожалуй, сразу с проблемы:
Есть такая программа-бот для онлайновой игрулины WoW прямой линк. Защита DotNet Reactor v4.X.
Способов я перепробовал кучу, но найти механизм активации так и не смог. Использовал следущее - IDA Pro Advanced (32-bit), HDasm, Resource Hacker, winhexru, Reg\Filemon, ArtMoney. Пытался даже перелопатить механизм работы кейгена от старой версии, написанием которого занимался разработчик(и) этого самого бота. Но и там фига с маслом. В IDA есть структура главного исполняемого файла бота (в виде дерева). Я так и не сообразил, которая из процедур вызывает проверку активации программы (по-идее она должна быть в числе первых, искал по адресу в HEXe - тоже ноль).
Если еще что-то нужно по-подробнее описать, говорите.

Далее, после некоторых манипуляций, а именно: создание дампа exe-шника бота в DotNet Dumper(чек-боксы выбраны на Dump Native и Smart Dump), деобфусцирования Reactor Decryptor'ом, фикса заголовков и попытке открыть полученный на выходе файл в .NET Reflector'e он выдает следующее:

Где и что я упустил?

| Сообщение посчитали полезным:

Brad
1. В коде.
2. Это к разработчикам рефлектора.

| Сообщение посчитали полезным:

Brad
улыбнул метод решения задачи


прямиком на дропбокс какого-то юзера, а что если завтра там кхм окажется что-то другое?


2) ваш бот требует (нагло причем, не дает выйти пока не найдет! пришлось убивать...)
директорию установленной игры WoW
где ето берется?
3)защита похоже сидит в музикальной длл

| Сообщение посчитали полезным: Brad

sendersu пишет:
2) ваш бот требует (нагло причем, не дает выйти пока не найдет! пришлось убивать...)
директорию установленной игры WoW
где ето берется?

Создай папку с пустым wow.exe

проверка реги ищется по "registration.re"

Brad
Парой постов выше твоего лежит прекрасный распаковщик реактора

| Сообщение посчитали полезным: Brad

sendersu пишет:
прямиком на дропбокс какого-то юзера, а что если завтра там кхм окажется что-то другое?
Ну может это и подстава, но такие вещи я всегда с официальных ресурсов беру =)
sendersu пишет:
2) ваш бот требует (нагло причем, не дает выйти пока не найдет! пришлось убивать...)
директорию установленной игры WoW
где ето берется?

Ну, для начала желательно установить игру. Или просто создать в папке с ботом wowpath.txt со следующим содержанием
и там же создать WoW.exe, далее бот создаст папку Interface с аддоном для самой игры. Обмануть его оказалось не так уж и сложно =)
Я тоже сначала на музыкальную длльку погрешил, но потом этот вариант как-то не рассматривал.

| Сообщение посчитали полезным:

Vovan666 пишет:
Парой постов выше твоего лежит прекрасный распаковщик реактора
Все мануалы, которые я нашел, на английском языке. Можете попроще объяснить как им воспользоваться в данном случае?
Что делал я:
Скинул в папку с ботом папку с дечдотом, запустил CMD(ибо через родной ехешник не получилось, пишет про закрытие), сменил директорию через CD, запустил ехе с параметром -r, он просканировал и выдал ERROR: Missing options value.
UPD
Пардон муа, я так понимаю, нужно набирать ВСЕ команды последовательно и уже с ними запускать проверку?

| Сообщение посчитали полезным:

Я вообще тупо перетащил notepad.exe на de4dot.exe и все.

| Сообщение посчитали полезным:

Vovan666 пишет:
Я вообще тупо перетащил notepad.exe на de4dot.exe и все.
Ну как всегда, все оказалось проще... Спасибо.
А какие-нибудь процедуры должны происходить при этом?) А то я тоже перетащил, появилось окно дечдота с подписью разрабов, Press any key to exit... и все.

| Сообщение посчитали полезным:

Brad
в папке с дедом создать ярлык -> набрать cmd -> два раза жмакнуть enter

в свойствах ярлыка поле Рабочая папка оставить пустым

дальше запускай деда, смотри параметры, прописывай пути правильно

| Сообщение посчитали полезным:

johnniewalker пишет:
в папке с дедом создать ярлык -> набрать cmd -> два раза жмакнуть enter

в свойствах ярлыка поле Рабочая папка оставить пустым

дальше запускай деда, смотри параметры, прописывай пути правильно

Пардон, но... ярлык на что, набрать кмд где...

| Сообщение посчитали полезным:

Brad
не в обиду будет сказано, но если вы самостоятельно не можете освоить утилиту de4dot - дальше будет на порядок труднее, ето даже не азы, ето как говорят маст хев.

Start -> Run -> cmd.exe -> ........

| Сообщение посчитали полезным: