Со времени создания топика много обсудили, во много м разобрались и много осталось за кадром. Решил подшить выкладываемый софт и линки

Инструменты:

dnSpy - бодрый декомпилятор и отладчик тут беты

Gray Wolf - DE-ObfuScatE / Edit IL(Live) / Add payloads / Edit attributes(public/privet) / Copy strong names signing on EXE/DLL
ReSharper 6.0 Build 2093 Pre-Release - Очень навороченый декомпилер, побробности --> ТУТ <--.
Рег-данные:

Reflector 8.3.3.115 - платный декомпилятор .NET 8.3.0.95 + (дополнение к нему)
Седьмая версия рефлектора - думаю все знают
Сборка Add-in'ов для Reflector - есть много полезных вещей
.Net ID 1.0.0.3 - определение защиты
DNiD by Rue - сигнатурный анализатор
Dotnet IL Editor (DILE)- Opensource дизассемблер и дебаггер
Xenocode Fox Code Analyzer- профайлер и дизассемблер
Reactor Decryptor 1.7 - что то декриптит, но что не понятно(с) zeppe1in
Simple Assembly Explor (SAE) - Assembler, Disassembler, Deobfuscator, IL editor and more...
DotNet Dumper 1.0 - Дампер .net'овских приложений. Подробное описание
Kurapica dotNET Tracer 1.1 - трейсер от известного автора инструментов для .net
ILSpy 1.0.0.481 - Opensource комбайн, на подобие SAE. Подробности тут
dotTrace Performance 4.0.665.4 - Неплохой трейсер для .Net приложений. Умеет делать трейсы не смешивая потоки как KDT. Умеет сравнивать трейсы двух запусков программы
Рег-данные:

Universal Fixer 1.0 - fix dumps after dumping them whit Dotnet Dumper or other similiar tools and will also fix nasty things: multiple assembly/module definitions, wrong extends, etc.
iMPROVE .NET Deobfuscator - деобфускатор


ConfuserDumper
ConfuserDelegateKiller
CodeCrackerTools: ConfuserMethodsDecryptor, ConfuserDelegateKiller, ConfuserStringDecryptor, MegaDumper, etc.

Статьи с хабры:
Защита .NET приложений - Субъективная теоретическая муть с хабры, выдаваемая за обзор обфускаторов(только для фанатов)
Как обмануть NET.Reflector - вот это уже годная статья, в которой рассматривается ручная обфускация в стихах и картинках
Взлом программ для чайников - ну не знаю...прописные истины, но приятно, что все это есть на русском языке и нормально оформлено
Реверс-инжиниринг обфусцированной сборки .NET - один только заголовок чего стоит. По сути статья информативная
Инъекции MSIL кода в стороннюю сборку при помощи Mono.Cecil. Реализация принципов АОП в NET
Избавление .NET программы от регистрации на примере BEM
Снимаем дамп объектов с памяти .Net приложения

Другое:
.NET Reflector v7.0.0.198 (C# Source by wangshy)
[url=http://lifeinhex.com/string-decryption-with-de4dot/]String decryption with de4dot[/url

-

Last edit: 2012-02-17, Links fixed. Jupiter]

| Сообщение посчитали полезным:

iLnes
Помочь для начала бы уменьшать скриншоты или отрезать ненужную часть, а то прям серый квадрат малевича с такой же информативной нагрузкой... никто тебе не поможет восстановить имена классов... кроме автора сие софта....
п.с: извиняюсь за оффтоп...

| Сообщение посчитали полезным: SReg

ILSpy 2.0 Final + src



--> Link <--

de4dot 1.8.1



--> Link <--

| Сообщение посчитали полезным:

В новых версиях ILSpy теперь уже не будет меню Debugger? Интересно почему убрали.
Последняя версия, которую нашел у себя с дебагером, это ILSpy_Master_2.0.0.1571

Вообщето нашел, вот что пишут;
However, one thing changed for the binaries distribution: we do not include the debugger addin by default (it is part of the source download). The reason is that it is not stable enough - we´re improving the debugger in SharpDevelop and don´t have the resources to port those changes over to ILSpy just yet.

Сам собрал, дебагер появился.

| Сообщение посчитали полезным:

Скинте ссылку на Reactor Decryptor 1.7 или если свежее есть в ЛС либо обменик если несложно, всё ссылки выше мёртвые =(

| Сообщение посчитали полезным:

Xlab0s
Последняя версия 1.7
http://sderni.ru/122738

| Сообщение посчитали полезным:

igorca - спасибо
но я наверно что то нетак делаю выдаёт окно
Error from thread:
в основном окне пишет Not even a .NET assembly!

| Сообщение посчитали полезным:

Xlab0s
Так а программа то точно на net написана?

| Сообщение посчитали полезным:

igorca пишет:
Так а программа то точно на net написана?

да точно и под протектором .NET Reactor 4.0

| Сообщение посчитали полезным:

Xlab0s пишет:
да точно и под протектором .NET Reactor 4.0
Под каким протектором?И причём тут тогда Reactor Decryptor?

| Сообщение посчитали полезным:

Ещё возник вопрос можно ли поправить ресурсы .net программы что то типа RestoratorА надо.
AboutWindow.resources
MainWindow.resources

| Сообщение посчитали полезным:

Xlab0s пишет:
Ещё возник вопрос можно ли поправить ресурсы .net программы что то типа RestoratorА надо.
Radialix,Passolo

| Сообщение посчитали полезным: Xlab0s

Xlab0s
Если только текст, то что igorca подсказал, если файлы, то reflector+reflexil.

| Сообщение посчитали полезным:

да не сами формы размеры их положение

| Сообщение посчитали полезным:

Xlab0s пишет:
формы размеры их положение
ето в коде надо менять, дот нет форма ето вам не .dfm как в дельфе...
хотя надо глядеть детальней - возможно у вас wpf или silverlight аппликация -ето совсем другая песня....

| Сообщение посчитали полезным: Xlab0s

New version: 1.8.2
Supports the latest build of Cli_Secure (now called Agile.NET)
Supports older Cli_Secure versions (1.x-5)
Supports the latest build of MaxtoCode
Supports the latest build of DeepSea
Updated Eazfuscator.NET deobfuscator
Updated Skater.NET string decrypter
--> de4dot 1.8.2 <--

| Сообщение посчитали полезным: igorca, Dart Raiden

Зарелизился dotPeek 1.0
--> features <--
--> download page <--

| Сообщение посчитали полезным:

New version: 1.8.3
Supports the latest build of Agile.NET
--> de4dot 1.8.3 <--

| Сообщение посчитали полезным: igorca

de4dot должен привести к реальным именам или он ограничивается class101, method_01 и т.д.? (Eazfuscator.NET)

| Сообщение посчитали полезным:

Реальные имена канули в лету....
нету их больше, нету..... и не будет
обфускация - необратимый процесс

| Сообщение посчитали полезным: s0x0110

sendersu,

А почему тогда VS распознает реальные имена (в обозревателе объектов)?

| Сообщение посчитали полезным:

s0x0110
уточните сценарий
кто, чем и когда делал обфускацию
если вы - автор процесса обфускации, тогда ето совсем 2ая опера....

| Сообщение посчитали полезным:

Знатоки, подскажите как заставить de4dot переименовывать все поля класса?
Пример: unknown obf. на выходе дает int Class22.<, пропуская всякие $ и т.п. а я хочу чтоб это был более наглядный Class22.int_9 или нечто приближенное к этому. Как составить regexp в таком случае? А то я в них не особо силен.

| Сообщение посчитали полезным:

sendersu

делал я. de4dot-1.8.3 (он же определил Eazfuscator.NET). Может я что-то не правильно сделал... Подсунул дедоту dll... (В библиотеке изменены только имена (при просмотре в рефлекторе) - типа "BKJBdsbasbXUYKBKsdvwa, VjvgwduYAwdJICHikbdckies") Если же библиотеку просмотреть через VS (обозревателе объектов), то там имена такие, какие и должны быть. Как в обфусцированном файле, так и после обработки дедотом. Однако после деобфускации в рефлекторе отображаются class101, method_01 и подобные.

| Сообщение посчитали полезным:

s0x0110 студия видит pdb от библиотеки.

| Сообщение посчитали полезным:

de4dot v1.8.4 - May 19 2012 - Supports the latest build of Agile.NET
https://github.com/0xd4d/de4dot

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным: neprovad, igorca

neprovad

есть ли способ из pdb вытащить все имена? прикрутить их к либе после деобфускации? загуглил - с редактором pdb туго...

sendersu

Если имена "канули в лету", почему при вызове метода (который находится в обфусцированной библиотеке) из самописного кода/проекта (к которому подключена эта библиотека), студия/компилятор/среда выполнения понимают что конкретно хочет программер?

| Сообщение посчитали полезным:

s0x0110, в иду грузи, или даже в олю можно через тернии, они автоматически подхватывают pdb

| Сообщение посчитали полезным: s0x0110

s0x0110
сборка может быть легко приведена в читабельный вид с помощью SAE и ручного переименовывания всех методов и даже полей, займет это от силы полчаса при должном усердии. pdb же легко загрузится в ida, как выше подсказали

| Сообщение посчитали полезным: s0x0110

neprovad

Есть ли способ сопоставить реальные имена из pdb и те, которые отображаются в библиотеке? или это все методом тыка нужно сделать?

| Сообщение посчитали полезным:

s0x0110 пишет:
студия/компилятор/среда выполнения понимают что конкретно хочет программер?
что-то вы недоговариваете
попробовал сам -
а) если собирать релиз версию - нету пдб-ек (ето и понятно, какой дебаг в релизе)
б) собрал дебаг версию - в длл-е есть реф на пдб-ку
в) скормил дебаг версию Еазфускатору, он ее пожевал и (внимание!!) пдк-ку удалил
г) кормим обфуц. дллку дедоту
д) о как, ан нету больше никаких рефов на пдб-ку......

скорей всего когда вы работали в студии, длл-ка была пересобрана и обфускация канула в лету


все же, что за задачу вы решаете?
в 99.999999999% случаях полчув на руки чужую обфуц. дллку пдб-ки к ней не будет.
значит вы что-то делаете на своей дллке
на уровне классов, методов вряд ли получится сопоставить, возможно на уровне метадата полей....

| Сообщение посчитали полезным: s0x0110