Со времени создания топика много обсудили, во много м разобрались и много осталось за кадром. Решил подшить выкладываемый софт и линки

Инструменты:

dnSpy - бодрый декомпилятор и отладчик тут беты

Gray Wolf - DE-ObfuScatE / Edit IL(Live) / Add payloads / Edit attributes(public/privet) / Copy strong names signing on EXE/DLL
ReSharper 6.0 Build 2093 Pre-Release - Очень навороченый декомпилер, побробности --> ТУТ <--.
Рег-данные:

Reflector 8.3.3.115 - платный декомпилятор .NET 8.3.0.95 + (дополнение к нему)
Седьмая версия рефлектора - думаю все знают
Сборка Add-in'ов для Reflector - есть много полезных вещей
.Net ID 1.0.0.3 - определение защиты
DNiD by Rue - сигнатурный анализатор
Dotnet IL Editor (DILE)- Opensource дизассемблер и дебаггер
Xenocode Fox Code Analyzer- профайлер и дизассемблер
Reactor Decryptor 1.7 - что то декриптит, но что не понятно(с) zeppe1in
Simple Assembly Explor (SAE) - Assembler, Disassembler, Deobfuscator, IL editor and more...
DotNet Dumper 1.0 - Дампер .net'овских приложений. Подробное описание
Kurapica dotNET Tracer 1.1 - трейсер от известного автора инструментов для .net
ILSpy 1.0.0.481 - Opensource комбайн, на подобие SAE. Подробности тут
dotTrace Performance 4.0.665.4 - Неплохой трейсер для .Net приложений. Умеет делать трейсы не смешивая потоки как KDT. Умеет сравнивать трейсы двух запусков программы
Рег-данные:

Universal Fixer 1.0 - fix dumps after dumping them whit Dotnet Dumper or other similiar tools and will also fix nasty things: multiple assembly/module definitions, wrong extends, etc.
iMPROVE .NET Deobfuscator - деобфускатор


ConfuserDumper
ConfuserDelegateKiller
CodeCrackerTools: ConfuserMethodsDecryptor, ConfuserDelegateKiller, ConfuserStringDecryptor, MegaDumper, etc.

Статьи с хабры:
Защита .NET приложений - Субъективная теоретическая муть с хабры, выдаваемая за обзор обфускаторов(только для фанатов)
Как обмануть NET.Reflector - вот это уже годная статья, в которой рассматривается ручная обфускация в стихах и картинках
Взлом программ для чайников - ну не знаю...прописные истины, но приятно, что все это есть на русском языке и нормально оформлено
Реверс-инжиниринг обфусцированной сборки .NET - один только заголовок чего стоит. По сути статья информативная
Инъекции MSIL кода в стороннюю сборку при помощи Mono.Cecil. Реализация принципов АОП в NET
Избавление .NET программы от регистрации на примере BEM
Снимаем дамп объектов с памяти .Net приложения

Другое:
.NET Reflector v7.0.0.198 (C# Source by wangshy)
[url=http://lifeinhex.com/string-decryption-with-de4dot/]String decryption with de4dot[/url

-

Last edit: 2012-02-17, Links fixed. Jupiter]

| Сообщение посчитали полезным:

DenCoder пишет:
Пока инструмент на стадии выбора я тебе больше скажу на github.com аффтар вообще выкинул debugger из ILSpy.... пользуйте типа мой другой проект SharpDevelop он типа туда встроен и улыбочку гаденькую в конце пририсовал.
Ссыль https://github.com/icsharpcode/ILSpy/commits/master (новость от 16.07.2013)

| Сообщение посчитали полезным:

Medsft
ILSpy plug-in там есть. Но как его использовать я не нашел.

-----
старый пень

| Сообщение посчитали полезным:

Medsft пишет:
пользуйте типа мой другой проект SharpDevelop он типа туда встроен и улыбочку гаденькую в конце пририсовал.

debugger.plugin.dll вместе с debugger.core.dll результат двух проектов из SharpDevelop. Их можно компоновать с проектами илспая

Вопрос в другом:
На сегодняшний день использовал относительно нету следующие дебаггеры:
1) Visual Studio 2010 + .NET Reflector 8
2) WinDbg + SOS
3) Mdbg
4) .NET Reflector 8 + plugin deblector
5) ILSpy + ILspy.debugger.plugin
6) Dile
У последних 4х проблема с точным позиционированием IP. Невозможно многопоточный нет-код трассировать по IL-инструкциям, IP прыгает через несколько строк. Хотя Mdbg с деблектором так и пишут, точно или не точно установлен IP.

1ый вариант отладки декомпилит ассембли и генерит символы, чтоб показать код на c#. Но чтобы трассировать его, он его заново компилит и сообщает, что не может ничего сделать - символы не совпадают.
2ой очень очень трудоёмкий, есть возможность остановиться на желаемом методе, работает, но отладка не IL-кода, а скомпилированного в x86(x64) асм код. Или я просто не нашёл, как это сделать. Есть в нём возможность посмотреть IL-код метода, CLRStack, треды, классы и методы, но информации об IP IL-кода нет (или не нашёл).

-----
IZ.RU

| Сообщение посчитали полезным:

в Dile есть фишка - можно все локальные переменные обьектов глянуть
и таки да - IP скачет как хочет в нем ...
имхо надо генерить .pdb что (почти) не всегда реально...
вон даже Олег (Олли автор) обломался, а одна из задумок его в 2ке была дебажка дот нета....

| Сообщение посчитали полезным:

ReSharper 8 KeyGen (пропатченный keygen CoRE для 7.x версии)
Приятного кодинга

От модератора: аттачить не нужно! кейген -- http://rghost.ru/47582718

| Сообщение посчитали полезным: ZaZa

iMPROVE .NET it's a deobfuscator for packers that de4dot can't unpack. Current supported packers:

-DotBundle (only main exe and dlls unpacking)
-ExePack.NET
-.NetZ .NET Packer
-Macrobject Obfuscator .NET 2009
-.netshrink

--> Link <--

| Сообщение посчитали полезным: 4kusNick, tino, matrix, nick8606, ZaZa

sendersu пишет:
и таки да - IP скачет как хочет в нем ... угостите ссылкой на многопоточное (приложение минимального веса т.е. не типа проекта visual studio 10 от била) dile поремонтировал а проверить это высказывание не могу.Если можно желательно прям с указателем на метод где данное явление имеет быть..

| Сообщение посчитали полезным:

iMPROVE .NET Deobfuscator

-DotNet Spin
-DotWall

Добавлено/обновлено 23 hours ago

| Сообщение посчитали полезным:

От модератора: в запросы с этим. и заодно в бан на сутки за слова нехорошие

| Сообщение посчитали полезным:

Здравствуйте.
Хотел бы узнать, есть в публичном доступе деобфускатор, который бы умел переименовывать одноименные поля и методы.
например ситуация

class T {
short A;
static short A(int A) {}

}


Upd # 1. Попытался использовать iMPROVE .NET , но он вносит ошибки в результирующую сборку и программа не запускается.
Upd #2.
Та же история с kurapica dotnet deobfuscator.
немного поисследовав, выяснил, что ошибка в след.:
в конструкторе класса используется след.
int[] expr_01 = new int[100];
RuntimeHelpers.InitializeArray(expr_01, fieldof(A.A).FieldHandle);
где A.A не переименовывается.

| Сообщение посчитали полезным:

Jonny
SAE?

upd: деобфускатор и сборка что запускается после оного процесса ето две большие разницы
из всего дефуцирующего софта только дедот и то не всегда делает запускабельную

| Сообщение посчитали полезным:

Да, de4dot хорош. Там у него и библиотека запилена собственная, а не дефолтовый Mono.cecil, который падает на нестандартных сборках. Но у него пока что нет такой функции.

SAE. Попробовал с профилем name only, но имена в выходной сборке не переименовываются.
SAE версии 1.14.2

| Сообщение посчитали полезным:

Jonny
чуть выше вылаживали --> SAE 1.15 <--

| Сообщение посчитали полезным:

Jaa
скачал SAE 1.5. как я понял, для деобфускации он использует De4dot. В этой сборке он версии 2.0.3, который не имеет этой функции.
--------
Пока что остановился на Improve Net с последующим ручным допиливанием.

| Сообщение посчитали полезным:

Jonny пишет:
как я понял, для деобфускации он использует De4dot
SAE писал китаец Wicky Hu задолго до того как создали дедот
внем есть много всего -
http://code.google.com/p/simple-assembly-explorer/wiki/Introduction
в том числе и гибкая деобфускация включая поиск по рег-експу названий (тех что надо или не надо деобфуцироать)
дедот к сае прикрутили недавно, и видимо только с целью идентификации протектора

Jonny пишет:
который не имеет этой функции.


какой именно?

| Сообщение посчитали полезным:

В improve net deobf я не нашел способа переименовать имена в выражении fieldof и возможно еще в выражении methodof.

sendersu пишет:
onny пишет:
который не имеет этой функции.


какой именно?


Я не смог застваить его переименовать одноименные поля, методы и вложенные типы в одном и том же классе.И поэтому склонен думать, что данной функции в de4dot нет.

Upd: Как решение - это добавлять номер токена при переименовании. Но для этого нужно пинать разработчика de4dot или самому написать патч. Пока что нет достаточного импульса.

| Сообщение посчитали полезным:

Попробуй последним плагином (режим "Mini obfuscator")

| Сообщение посчитали полезным:

Medsft пишет:
Попробуй последним плагином (режим "Mini obfuscator")
Обфускатор не переименовывает вложенные типы и их члены.
также не переименовывает имена в fieldof выражении.





Увы, не совсем подходит для моих целей.

| Сообщение посчитали полезным:

Jonny
какой у вас тип протектора?
попробуйте задать через ключ дедота по маске

Deobfuscator options:
Type un (Unknown)
--un-name REGEX Valid name regex pattern (^[a-zA-Z_<{$][a-zA-Z_0-9<>{}$.`-]*$)

| Сообщение посчитали полезным: Jonny, 4kusNick

sendersu пишет:
какой у вас тип протектора?
de4dot определяет как unknown protector.
Проблема только в перегруженном переименовании, например, такое переименование может делать данная защита:
--> Link <--

| Сообщение посчитали полезным:

sendersu пишет:
попробуйте задать через ключ дедота по маске

Помогло.
Всего то нужно было, чтобы проверка имени по маске постоянно возвращала отрицательный результат.
de4dot.exe --un-name "(^[0]*$)" -v -f program.exe -o program_cleaned.exe >log

| Сообщение посчитали полезным:

iMPROVE .NET 0.1.4



--> Link <--

| Сообщение посчитали полезным:

Безусловно лучший писака по Net - Ajay Yadav
ссыль на одну из статей hxxp://resources.infosecinstitute.com/multithreading/ а справо menu "Other Articles by Ajay Yadav" его остальные работы

| Сообщение посчитали полезным: DenCoder

smartassembly deobfuscator
Есть нормальный
de4dot-2.0.3 криво снимает

Powered by SmartAssembly 6.8.0.121
Вот такая версия

| Сообщение посчитали полезным:

Mishar_Hacker пишет:
Есть нормальный
Ну раз есть чего хвалиться, выкладывайте!

| Сообщение посчитали полезным: nick8606

sendersu
У меня нету чем снять SmartAssembly я у вас спрашиваю есть ли что нибудь?

| Сообщение посчитали полезным:

дамбассембли в топике что говорит, если чего есть исходники

upd
по поводу
Mishar_Hacker пишет:
Powered by SmartAssembly 6.8.0.121

ради интереса запротектил оной- дедот и ухом не моргнул - взял все и дажерабочее плюнул

| Сообщение посчитали полезным:

кто может слить эту программку?
http://forum.exetools.com/showthread.php?t=15178

| Сообщение посчитали полезным:

На тутсях же есть

--> Link <--

| Сообщение посчитали полезным:

New:
- Added kill strong name check
- Added Use DinamicILInfo checkbox:
please keep it unckecked as it is by default - this will do the job for most of programs
- if the default options fails ( return 0 decrypted) mark DinamicILInfo


1c6f_27.08.2013_EXELAB.rU.tgz - ConfuserDelegateKiller.zip

| Сообщение посчитали полезным: