Со времени создания топика много обсудили, во много м разобрались и много осталось за кадром. Решил подшить выкладываемый софт и линки

Инструменты:

dnSpy - бодрый декомпилятор и отладчик тут беты

Gray Wolf - DE-ObfuScatE / Edit IL(Live) / Add payloads / Edit attributes(public/privet) / Copy strong names signing on EXE/DLL
ReSharper 6.0 Build 2093 Pre-Release - Очень навороченый декомпилер, побробности --> ТУТ <--.
Рег-данные:

Reflector 8.3.3.115 - платный декомпилятор .NET 8.3.0.95 + (дополнение к нему)
Седьмая версия рефлектора - думаю все знают
Сборка Add-in'ов для Reflector - есть много полезных вещей
.Net ID 1.0.0.3 - определение защиты
DNiD by Rue - сигнатурный анализатор
Dotnet IL Editor (DILE)- Opensource дизассемблер и дебаггер
Xenocode Fox Code Analyzer- профайлер и дизассемблер
Reactor Decryptor 1.7 - что то декриптит, но что не понятно(с) zeppe1in
Simple Assembly Explor (SAE) - Assembler, Disassembler, Deobfuscator, IL editor and more...
DotNet Dumper 1.0 - Дампер .net'овских приложений. Подробное описание
Kurapica dotNET Tracer 1.1 - трейсер от известного автора инструментов для .net
ILSpy 1.0.0.481 - Opensource комбайн, на подобие SAE. Подробности тут
dotTrace Performance 4.0.665.4 - Неплохой трейсер для .Net приложений. Умеет делать трейсы не смешивая потоки как KDT. Умеет сравнивать трейсы двух запусков программы
Рег-данные:

Universal Fixer 1.0 - fix dumps after dumping them whit Dotnet Dumper or other similiar tools and will also fix nasty things: multiple assembly/module definitions, wrong extends, etc.
iMPROVE .NET Deobfuscator - деобфускатор


ConfuserDumper
ConfuserDelegateKiller
CodeCrackerTools: ConfuserMethodsDecryptor, ConfuserDelegateKiller, ConfuserStringDecryptor, MegaDumper, etc.

Статьи с хабры:
Защита .NET приложений - Субъективная теоретическая муть с хабры, выдаваемая за обзор обфускаторов(только для фанатов)
Как обмануть NET.Reflector - вот это уже годная статья, в которой рассматривается ручная обфускация в стихах и картинках
Взлом программ для чайников - ну не знаю...прописные истины, но приятно, что все это есть на русском языке и нормально оформлено
Реверс-инжиниринг обфусцированной сборки .NET - один только заголовок чего стоит. По сути статья информативная
Инъекции MSIL кода в стороннюю сборку при помощи Mono.Cecil. Реализация принципов АОП в NET
Избавление .NET программы от регистрации на примере BEM
Снимаем дамп объектов с памяти .Net приложения

Другое:
.NET Reflector v7.0.0.198 (C# Source by wangshy)
[url=http://lifeinhex.com/string-decryption-with-de4dot/]String decryption with de4dot[/url

-

Last edit: 2012-02-17, Links fixed. Jupiter]

| Сообщение посчитали полезным:

На старые вопросы ответов не получено, но возникли вопросы новые - если напрямую открыть sound.dll в WinHex, получаем крякозябры вместо русских букв и адекватное отображение букв английских. Какой программой или какими шаманскими заклинаниями\танцами с бубном можно перевести белиберду на русский язык?

| Сообщение посчитали полезным:

sendersu пишет:
не в обиду будет сказано, но если вы самостоятельно не можете освоить утилиту de4dot - дальше будет на порядок труднее, ето даже не азы, ето как говорят маст хев.

Start -> Run -> cmd.exe -> ........
Меня поставило в тупик заявление товарища johnniewalker'а.
А вам, наверное, надо было прочитать мои предыдущие посты.

| Сообщение посчитали полезным:

Brad пишет:
если напрямую открыть sound.dll в WinHex, получаем крякозябры вместо русских букв
А распаковывать кто будет?

| Сообщение посчитали полезным:

Vovan666 пишет:
А распаковывать кто будет?
Воооот, тут вопрос - чем Вы поймите одно, у меня опыта в реверсе с гулькин нос =) Нужно выяснить, чем запакован dll, а у меня, опять-же, нечем. File Analyzer сдох, новая версия, насколько я знаю, платная и просто так не работает.
Может кто-нибудь подсказать программку, определяющую чем запакован файл?
UPD
Распаковал Quick.Unpack.v2.1, в HEXe та же самая лабуда. Кстати, после распаковки выполз loader.exe и все тот же sound.dll

| Сообщение посчитали полезным:

Brad пишет:
тут вопрос - чем
руками
запаковано mpress

| Сообщение посчитали полезным:

Эх... прям беда бедецкая. Можете уже распакованый скинуть? Ошибку выдает при дизасме, в HEX код такой-же пустой =\ Я уже 3 день с этим ботом воюю, устал=) Но ради интереса просто не отступлю.

| Сообщение посчитали полезным:

--> Red.Gate.Reflector.v7.5.2.1.Incl.Keygen-Lz0 <--

| Сообщение посчитали полезным:

Сборку сначала нужно деобфусцировать, потом распаковать или же распаковать, а после этого деобфусцировать каждый файл по-отдельности?
Решил пока отложить BIMSbot в сторонку, набросился на http://fish-bot.at.ua/, он в защите попроще будет, да и автор тот же.
Сборка открывается в рефлекторе без проблем, защищена
[code]
[TargetedPatchingOptOut("Performance critical to inline this type of method across NGen image boundaries")]public SuppressIldasmAttribute()[/code]


Еще нашел:
[code]assembly:SecurityPermissions(SecurityAction::RequestMinimum, ,UnmanagedCode=true)][/code]
[code]assembly:SecurityPermissions(SecurityAction::RequestMinimum, SkipVerification=true)[/code]
Это видимо и есть защита.
Посоветуйте как все это дело отредактировать напрямую, если это то, что я ищу.

| Сообщение посчитали полезным:

Brad
Почитал бы чтоль туторы как ломать .net, то ни чего не раработает, то хню какую-то ты находишь.

| Сообщение посчитали полезным:

Если бы все было в туторах, я бы сюда не лез, ок?

| Сообщение посчитали полезным:

Защита 100% идентичная, только не реактор, а Eazfuscator.NET

| Сообщение посчитали полезным:

Там таблиц и вызовов меньше.

| Сообщение посчитали полезным:

de4dot-1.7.2
New version: 1.7.2
Added support for a new Eazfuscator 3.3 version released 1-2 days ago
Updated detection of SA v2 string decrypter

| Сообщение посчитали полезным:

Вот как вовремя... деобфусцировал этот долбаный notepad.exe, слава троянам

| Сообщение посчитали полезным:

NikolayD пишет:
New version: 1.7.2
попался на глаза такой обфускатор - Confuser .NET
так вот, от из 20КБ екзешки сделал почти 400 !!! КБ макароно-кода
дедот сказал ой на нем
а все остальное - рвет как тузик

| Сообщение посчитали полезным:

sendersu я думаю это лишь дело времени )))

| Сообщение посчитали полезным: sendersu

de4dot-1.7.3
New version: 1.7.3

Added support for latest Crypto Obfuscator 2012 version
Added support for latest DeepSea 4.0.4 version
Added support for latest Eazfuscator.NET version (3.3.136)

| Сообщение посчитали полезным: igorca, DimitarSerg

New version: 1.7.4
*. Supports the latest Eazfuscator.NETversion (3.3.143)
*. Supports Compact Framework assemblies obfuscated with Eazfuscator.NET
*. Supports Silverlight assemblies obfuscated with Eazfuscator.NET
*. Supports Silverlight assemblies obfuscated with DeepSea
*. Restores resource names ending in".g.resources" (Spices.Net)
*. Some WinForm property names weren't restored. Now they are.
*. Added some more assembly search paths.
http://cloud.github.com/downloads/0xd4d/de4dot/de4dot-1.7.4.zip

| Сообщение посчитали полезным:

Ещё одна полезность с еxetols:
DumbAssembly 0.5.8

DumbAssembly is an automatic unpacker for the RedGate SmartAssembly .NET protector. It supports versions of SmartAssembly up to 6.5.1 and removes the following protections:
* Code flow obfuscation
* Import obfuscation
* String encryption
* Resource encryption
* Assembly embedding and encryption
* Tamper detection
If the input assembly was signed, the unpacked assembly is automatically re-signed with a randomly generated (or manually specified) strong name key pair.
All occurrences of the original public key or public key token in the binary are replaced by the new ones.
The archive contains binaries and the complete source code.

http://www.mediafire.com/?lunow30hx22wao1

| Сообщение посчитали полезным:

igorca, de4dot на порядок лучше справляется с SA.NET

| Сообщение посчитали полезным:

Бывают ситуации, когда один софт не справляется, а другой делает как надо

| Сообщение посчитали полезным:

Airenikus, согласен, в моем случае dumbassembly не справился, когда как de4dot справился

| Сообщение посчитали полезным:

New version: 1.8.0
Supports Cli_Secure 6.0
Devirtualizes CSVM code
Dynamic decryption of methods encrypted with the new encryption algorithm
Supports the latest Eazfuscator.NET build
Supports the latest Crypto Obfuscator build
MaxtoCode
Supports the latest build
Decrypts encrypted strings
Better MC detection
Updated Skater.NET string decrypter
--> de4dot-1.8.0 <--



DotNet Resolver BETA v8
DotNet Resolver is an application made in Vb.net. It can be used not only for assembly editing but also for Converting IL to .Net Languages such as C# and Visual Basic.

It was created by TheUnknownProgrammer and Androcir

This application main utillity consists in editing assemblies/applications in order to change the way they work. By doing this, it allows the user to fully manage an executable file without its source code/project.
Its way of functioning is simillar to .Net Reflector but has some more features added to it.
Also, aswell as any other Assembly Editor, it has a full support for Plugins
[New Update! 8]
Fixed the bug of string searcher. Treeview's context menu is fixed, refreshing decompilation and highlevel editor is a little bit improved.

Known issues
IL switch instruction isn't supported yet
Static method/properties are sometimes showed weird.
Have to add optimization of code, such as converting Loops isntead of using goto's.
Sometimes If instructions and Try instructions are switched.
--> dotnet_resolver_beta_v8 <--

| Сообщение посчитали полезным: igorca, sierra

Ребят, помогите.
Попался софт, с dotNet Reactor v4.0 (or newer).
Снял обфускацию с помощью de4dot-1.8.0
Но шифрованные строки остались. Как избавиться? Вот скрин:
http://i.minus.com/it5IJKk58RRHG.png

| Сообщение посчитали полезным:

Значит до реактора было чем-то обфусцировано.
Попробуй подсунуть de4dot второй раз, или деобфусцируй в том же SAE

| Сообщение посчитали полезным:

SAE не помог.
До этого тоже вряд ли была обфускация. Тут только NET Reactor.

Автор de4dot ответил следующее:
"If you want to rename all obfuscated names, use --dr4-name and use a suitable regex."
Но разобраться с этой штукой так и не удалось.

| Сообщение посчитали полезным:

Реактор по другому шифрует имена процедур, обфусцировано было до него, "деобфускация" через --dr4-name ничего путного не даст, просто все классы будут называться GClass4,GClass5 и т.д.

| Сообщение посчитали полезным:

После второго раза подсовывания деобфусцированного файла de4dot'у, он мне показал следующее:
Detected Spices.NET
Но расшифровывать эти строки и классы не хочет ни в какую. То есть, шифрование так и осталась...

| Сообщение посчитали полезным:

iLnes
Шифрование строк != обфускации имен функций!

| Сообщение посчитали полезным:

Ну я думаю вы меня поняли
Может все таки найдется здесь такой человек, способный точно помочь
Эх)

| Сообщение посчитали полезным: