Со времени создания топика много обсудили, во много м разобрались и много осталось за кадром. Решил подшить выкладываемый софт и линки

Инструменты:

dnSpy - бодрый декомпилятор и отладчик тут беты

Gray Wolf - DE-ObfuScatE / Edit IL(Live) / Add payloads / Edit attributes(public/privet) / Copy strong names signing on EXE/DLL
ReSharper 6.0 Build 2093 Pre-Release - Очень навороченый декомпилер, побробности --> ТУТ <--.
Рег-данные:

Reflector 8.3.3.115 - платный декомпилятор .NET 8.3.0.95 + (дополнение к нему)
Седьмая версия рефлектора - думаю все знают
Сборка Add-in'ов для Reflector - есть много полезных вещей
.Net ID 1.0.0.3 - определение защиты
DNiD by Rue - сигнатурный анализатор
Dotnet IL Editor (DILE)- Opensource дизассемблер и дебаггер
Xenocode Fox Code Analyzer- профайлер и дизассемблер
Reactor Decryptor 1.7 - что то декриптит, но что не понятно(с) zeppe1in
Simple Assembly Explor (SAE) - Assembler, Disassembler, Deobfuscator, IL editor and more...
DotNet Dumper 1.0 - Дампер .net'овских приложений. Подробное описание
Kurapica dotNET Tracer 1.1 - трейсер от известного автора инструментов для .net
ILSpy 1.0.0.481 - Opensource комбайн, на подобие SAE. Подробности тут
dotTrace Performance 4.0.665.4 - Неплохой трейсер для .Net приложений. Умеет делать трейсы не смешивая потоки как KDT. Умеет сравнивать трейсы двух запусков программы
Рег-данные:

Universal Fixer 1.0 - fix dumps after dumping them whit Dotnet Dumper or other similiar tools and will also fix nasty things: multiple assembly/module definitions, wrong extends, etc.
iMPROVE .NET Deobfuscator - деобфускатор


ConfuserDumper
ConfuserDelegateKiller
CodeCrackerTools: ConfuserMethodsDecryptor, ConfuserDelegateKiller, ConfuserStringDecryptor, MegaDumper, etc.

Статьи с хабры:
Защита .NET приложений - Субъективная теоретическая муть с хабры, выдаваемая за обзор обфускаторов(только для фанатов)
Как обмануть NET.Reflector - вот это уже годная статья, в которой рассматривается ручная обфускация в стихах и картинках
Взлом программ для чайников - ну не знаю...прописные истины, но приятно, что все это есть на русском языке и нормально оформлено
Реверс-инжиниринг обфусцированной сборки .NET - один только заголовок чего стоит. По сути статья информативная
Инъекции MSIL кода в стороннюю сборку при помощи Mono.Cecil. Реализация принципов АОП в NET
Избавление .NET программы от регистрации на примере BEM
Снимаем дамп объектов с памяти .Net приложения

Другое:
.NET Reflector v7.0.0.198 (C# Source by wangshy)
[url=http://lifeinhex.com/string-decryption-with-de4dot/]String decryption with de4dot[/url

-

Last edit: 2012-02-17, Links fixed. Jupiter]

| Сообщение посчитали полезным:

Dot Net String Decoder
progress-tools.x10.mx/dnsd.html

| Сообщение посчитали полезным: schokk_m4ks1k, sierra

GrayWolf
http://digitalbodyguard.com/DATA/GrayWolf%20v1.88.zip

Тул (редактор IL, декомпилятор, деобфускатор) от Jon McCoy:

Currently - is in a late beta stage It is similar to IL-Spy but this has a focue on edit/attack.
GrayWolf was a tool I created to carry out research. The focus is on editing applications to make change quickly.

What can it do:
DE-ObfuScatE
Edit IL(Live)
Add payloads
Edit attributes(public/privet)
Copy strong names signing on EXE/DLL

ToDo:
Advanced Code Navigation
Integration with GrayDragon
It is currently not open source, but Enjoy

Офсайт: http://digitalbodyguard.com/graywolf.html

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным: Flint, Airenikus, Exaktus_

Рефлекторе оновился
http://download.reflector.net/ReflectorInstaller_7.6.1.824.exe
ротор тот же )

| Сообщение посчитали полезным:

.NET Reflector 7.7.0.218
This build includes:
Enabling and disabling F12 behaviour more easily in the Visual Studio extension
Integration and improvement of power commands in Reflector Desktop
Bug fixes and usability enhancements in Reflector Desktop
Оф. сайт
download

-----
We do what we want because we can.

| Сообщение посчитали полезным:

Полезная утилита, для редактирования байт-кода .NET

ByteME v1.0





Видео-превью





cb9a_17.10.2012_EXELAB.rU.tgz - Release.rar

| Сообщение посчитали полезным: daFix, -Sanchez-, tino, mak, 4kusNick

.NET Reflector 7.7.0.218
This build includes:
Enabling and disabling F12 behaviour more easily in the Visual Studio extension
Integration and improvement of power commands in Reflector Desktop
Bug fixes and usability enhancements in Reflector Desktop
_http://www.reflector.net/eap/

| Сообщение посчитали полезным:

.NET Reflector Early Access Program
Latest version: 8.0
This build includes:
Adding the search filter to the Assembly Browser
_http://www.reflector.net/eap/

| Сообщение посчитали полезным: daFix

ByteMe v1.5 By Furious [repost from board.b-at-s.info]

Whats new?
-Fixed a critical bug with deassemblying some bytes with size 2 and simliar op codes.
-Fixed a bug with trying to decompile some methods.
-Now instruction # shown as hex
-Ability to modify bytes as op codes or as bytes
-Added a Goto module constructor
-Added hotkey delete automatically fill byte's with NOP
-Added double click modify OP code
-Added parameters and return type for methods

Future plans
-Ability to follow calls
-Highlighting of user selected opcodes
-Add search function

Links:
http://www.mediafire.com/?6170913cx5a666d

| Сообщение посчитали полезным: 4kusNick, t0ShA

Telerik Just Decompile обновился до 2012.3.1016.8
http://rghost.ru/private/41143519/0e4c66e67f1b17c28618dd41bebb97a2

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным: Flint, t0ShA

ByteMe v2.0

What's new?
-OpCode highlighting
-Code decompilation fixes with generic parameters (doesn't work with all assemblies I tested but works with the confuser sample I had)
-Now you can nop multiple OpCodes
-Search function added, should be fully functional but didn't test it that much.

What's next?
-Ability to modify the bytes in OpCodes rather than bytes (yes, I know I have said that sine version 1.0 but it was much harder than I thought)
-Built in renaming engine, this might seem weird but I was thinking about renaming engine that doesn't use cecil, I'm not entirely sure if this was gonna work but I will have to test it.
-Scripting language, I would like to hear your suggestions about it some examples for it would be like:

Code:

1. patch 246D 002A (instruction rva, new bytes to write)
2. wipe 245b (method rva/method token)

Some of you asked me for the source code, don't worry once I fully make it
bug free and finish the future plans I will release it, the code is really messy right now.

Скачать
Virustotal
http://www.youtube.com/watch?v=HvAgSHLUVzc

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным: yanus0, -Sanchez-, DimitarSerg, igorca, t0ShA

ByteMe v2.4
Не финальная версия (получил в индивидуальном порядке).

* Now you can modify opcodes in IL too instead of only bytes.
* Now when you refresh an assembly it will navigate back to the method you were on.
* Added a close button so it would be much easier to make any changes in the assembly.
* Added a reverse branch function, now you can right click on any branch and reverse it. Ex: 2C99 will be reversed to 2D99
* Added a scripting language, current commands:
modify rva newbytes modifies your defined rva with those bytes
nop rva nopes your defined rva
revbran rva reverses a branch with the defiend rva
wipe rva wipes method rva (changes all the instructions to nop and last instruction to ret)
get_all_#OPCODE# rva var gets all the rva addresses for your defined rva in your defined method and stores them in the var, example usage: get_all_call 2090 call : nop call10. this nops the 10th call in the method rva
nop_all_#OPCODE# rva nops all the defined OPCODE in the defined methodrva example : nop_all_call 2090
# for comments, all comments will be ignored.

Coded by Furious

http://rghost.ru/private/41225089/4bd4b6ce557062e1e9b3685a1482f708

---
Обновил линк
---
Airenikus
Уже не так мало (более метра).

Вот еще линк:
http://webfile.ru/6188272

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным: Flint

4kusNick
Говорит давнлоада нынче не будет - нада грузить в другое место ;)
-------------------
Фраза все еще актуальна ;)
Глючат файлообменники заливай на другие: http://www.upload.ee/ или http://www.sendspace.com/
Как-то так

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным: Flint

Лучше аттачить, немного весит же. А то вот ргхост сейчас с 502 ошибкой.

| Сообщение посчитали полезным: DimitarSerg

А вот и финальная ByteMe v2.4

http://localhostr.com/4PspDdRnbMm0
http://www.mediafire.com/?kbdbuzacl9r7d24
http://www.youtube.com/watch?v=ETaiYGnQIig

I added a scripting language in this release hopefully it will be used more often and I will be updating it with new commands and such.

What's new?
* Now you can modify opcodes in IL too instead of only bytes.
* Now when you refresh an assembly it will navigate back to the method you were on.
* Added a close button so it would be much easier to make any changes in the assembly.
* Added a reverse branch function, now you can right click on any branch and reverse it. Ex: 2C99 will be reversed to 2D99
* Added a scripting language, current commands:

Code:

1. modify rva newbytes , modifies your defined rva with those bytes
2. nop rva nopes , your defined rva
3. revbran rva , reverses a branch with the defiend rva
4. wipe rva wipes method rva , (changes all the instructions to nop and last instruction to ret)
5. get_all_#OPCODE# rva var , gets all the rva addresses for your defined rva in your defined method and stores them in the var, example usage: get_all_call 2090 call : nop call10. this nops the 10th call in the method rva
6. nop_all_#OPCODE# rva  , nops all the defined OPCODE in the defined methodrva example : nop_all_call 2090
7. #[/b] for comments, all comments will be ignored.

What's next?
Add token support for the scripting language
I'm thinking of adding a new node which tells you the information about the assembly ex: packer, ilonly(mixed mode), .net version.
Here is a screenshot of how I done so far:



The ability to modify is limited for now for only opcodes without operands,
the reversebranch should be fully functional and it will help a lot while trying to patch some checks.
About the scripting language, I don't except it to be of any use right now as it is still developing but with your feedback it will help a lot.
I added some scripts for .net shrink and confuser. The .net shrink script kills all the nags I also have 2 scripts for it but the second method is more reliable. Confuser script patches the antidump and antidebug calls but for a certain encryption method.
I also added a simple evaluator for commands for example as you see in scripts calls4 + 10, which gets the call number 4 rva - 10.

Coded by Furious


igorca
Спасибо, отпишу автору.

По поводу просмотра методов в ваших dllках - оно так и на других обфусцированных Confuser'ом сборках себя ведет (по понятным причинам - там нет кода, сплошная каша, которая дешифруется в рантайме).
Отпишу автору чтобы он как-то это дело обрабатывал и вместо эксепшена выдавал что-то адекватное.

PS: оказывается автор вам уже ответил --> тут<--

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным: Flint, DimitarSerg, yanus0, NikolayD, t0ShA, igorca, nick8606

4kusNick пишет:
А вот и финальная ByteMe v2.4
Несколько багов.Скрипты для shrinkа прекрасно отработали,а скрипт для Confuserа-оконфузился При его применении на ехешниках из архива вылазит ошибка:

Попробовал скрипт на нескольких dll,обработанных Confuseromом-та же ошибка.Кстати с помощью ByteMe эти dll-ки тоже не поправить:названия методов показывает,но при нажатии на них вылезает новая ошибка http://postimage.org/image/u6zzev2cb/
И ещё одна бага-при открытии файла обработаного Phoenix Protectorом ругается,что данный файл не .net assembly.Пришлось патчить в хекс редакторе

4kusNick,может донесёте до автора эту информацию,вдруг поправит ошибку с Confuserом

| Сообщение посчитали полезным:

ByteME v3.0 by Furious
What's new?
* Fixed a bug with decompiling empty type names (CodeCracker's Obfuscator)
* Fixed a bug while trying to modify a non selected item
* Fixed "Goto Entrypoint" bug with few assemblies
* Fixed a critical bug with locating the wrong metadata section
* Added error reporting
* Added the ability to trace methods
* Added assembly info node which includes: Version, Compiler version, Obfuscator, IL Only flag, PublicKeyToken, entrypoint token
* Added token support for scripting language, now you can use tokens like: nop_all_br t6000001
* Added a var "ep" for the scripting language, can be used like this: nop_all_call ep
* Added new command "get_all_inner_call" same function as "get_all_call" except it only adds the calls that is located in the assembly (non referenced calls)
* Removed script writer

What's next?
Mainly I will be focusing on optimizing the code and fixing bugs.
If you have any suggestions please post below.

This version had some important bug fixes, the problem with locating the wrong metadata section was deadly and had to be fixed asap.
Also the token support new feature for the scripting language should make it more useful and easier to locate methods.
Now for the info obfuscator detector, I only added confuser 1.9-1.4, DNGuard, Eazfuscator, .Net shrink, Agile.Net, Rummage, Smart Assembly
As those are the most used right now plus the others are really low on quality so didn't bother adding them, although if you have a suggestion
for a obfuscator please post in the thread and I might add it.
Note that the error reporting will only keep your last report to avoid flooding.

Links
https://lh.rs/tYd4Fm4IoUdv

| Сообщение посчитали полезным: igorca, Flint, t0ShA, drone

Ага, и видео в придачу:
http://www.youtube.com/watch?v=ax08dkeTqfE

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным: igorca, t0ShA

Обновился рефлектор
.NET Reflector 8.0.1.165
This build includes:
Improvements to the existing Filter functionality
Оф. сайт
Download

-----
We do what we want because we can.

| Сообщение посчитали полезным:

http://anonym.to/?http://www.telerik.com/downloads/productfiles/bdemc/TelerikJustDecompileSetup_2012.3.1107.0.exe

| Сообщение посчитали полезным:

ByteMe v3.3
What's new
* Fixed most of the decompiling errors (thanks 0xd4d)
* Fixed goto entrypoint with assemblies with no EP
* Now mono handles checking the compiler, so you won't have any further problems with some assemblies.
* Now you can copy multiple bytes, added hotkey CTRL+C for copying bytes
* Removed scripting language
* Removed hotkey DELETE for noping instructions
* Some optimizations at loading assemblies (13MB assembly now loads at 2.8 seconds instead of 3.5)
Special thanks to whoknows for helping with bugs
Was going to keep it private but changed my mind enjoy.
Скачать:
http://localhostr.com/cNNAFAeIrX4y

Сам автор обитает тут http://board.b-at-s.info/showtopic=8964 ,и довольно оперативно фиксит баги

| Сообщение посчитали полезным: 4kusNick, t0ShA, JMPer, gsx3000

Обновился рефлектор
.NET Reflector 8.0.1.218 beta
This build includes:
Improvements to the existing Filter functionality
--> Download <--

| Сообщение посчитали полезным:

Коллеги, может кто-нибудь подсказать, как побороть обфускацию в сборке "Processor architecture = Mixed" (по терминологии САЕ)? Все известные деобфускаторы (на основе Mono.Cecil) ругаются, что не могут работать с такими сборками.

| Сообщение посчитали полезным:

Radiola пишет:
Mixed
значит что часть кода - дот нет IL, а часть - нативный x86 код
если какая утилита и работает с миксед, то только на уровне .NET
писать естественно назад никто не умеет (кроме CFF если не ошибаюсь, пару байт поменять)

| Сообщение посчитали полезным:

ILSpy 2.1.0.1603
ILSpy is the open-source .NET assembly browser and decompiler.

Обзор и сравнение .NET декомпиляторов: --> ILSpy: .NET Reflector Alternatives Redux <--
Видео: --> Overview of features in ILSpy Build 296 <--
***************************************
Official Site: --> http://ilspy.net/ <--
Download Binaries: --> Link <--
DownLoad Source: --> Link <--

-----
One death is a tragedy, one million is a statistic.

| Сообщение посчитали полезным: igorca, gsx3000

А я уж подумал, новая версия вышла.. Она ж еще летом релизилась. Или я путаю чего?..

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

4kusNick
Да, летом был релиз... Но тут его никто не выложил, посему я и решился

Интересно то, что Simple Assembly Explorer [SAE] и плагин к рефлектору Reflexil используют библиотеки ILSpy [ICSharpCode.NRefactory.dll, ICSharpCode.Decompiler.dll]

Да и вообще стоит присмотреться к этим библиотекам, в разработку их взять, так сказать!

-----
One death is a tragedy, one million is a statistic.

| Сообщение посчитали полезным: 4kusNick

да, и ByteMe v3.6 вышел

http://rghost.ru/41971368

| Сообщение посчитали полезным:

ByteMe v3.9
What's new
* Fixed a reported bug while loading assembly info when the assembly is drag droped
* Added support for multiple assemblies
* No longer over-wrties the original assembly/No longer locks the original assembly
* Got rid of most of the useless code for optimizations
In this update I removed a lot of useless code I had and made some modifications in Cecil to suit my needs and make program run faster.
Also it no longer uses filestream but there is a little disadvantage as you can tell it will be using more memory than before, hope you like this update and suggestions are always welcomed.
Links
http://localhostr.com/0Bg4tgDu4MFq
Suggestions and reports are always welcomed
Автор тут обитает http://board.b-at-s.info/showtopic=8964

| Сообщение посчитали полезным: Flint, 4kusNick, t0ShA, c4sp3r

Обновился рефлектор
.NET Reflector 8.0.1.286 beta
This build includes:
Enhancing the enable Stepping-Into through disabled Call stack frames inside Visual Studio
Populate the Reflector Object Browser inside Visual Studio with assemblies from the process attached for debugging
--> Download <--

| Сообщение посчитали полезным:

Simple Msil Decryptor

New version out:
- A lot of bugs fixed
- Full Framework 4.0 suport

rghost.ru/42180665

aed4_12.12.2012_EXELAB.rU.tgz - Simple_MSIL_Decryptor.zip

| Сообщение посчитали полезным: 4kusNick, t0ShA