Со времени создания топика много обсудили, во много м разобрались и много осталось за кадром. Решил подшить выкладываемый софт и линки

Инструменты:

dnSpy - бодрый декомпилятор и отладчик тут беты

Gray Wolf - DE-ObfuScatE / Edit IL(Live) / Add payloads / Edit attributes(public/privet) / Copy strong names signing on EXE/DLL
ReSharper 6.0 Build 2093 Pre-Release - Очень навороченый декомпилер, побробности --> ТУТ <--.
Рег-данные:

Reflector 8.3.3.115 - платный декомпилятор .NET 8.3.0.95 + (дополнение к нему)
Седьмая версия рефлектора - думаю все знают
Сборка Add-in'ов для Reflector - есть много полезных вещей
.Net ID 1.0.0.3 - определение защиты
DNiD by Rue - сигнатурный анализатор
Dotnet IL Editor (DILE)- Opensource дизассемблер и дебаггер
Xenocode Fox Code Analyzer- профайлер и дизассемблер
Reactor Decryptor 1.7 - что то декриптит, но что не понятно(с) zeppe1in
Simple Assembly Explor (SAE) - Assembler, Disassembler, Deobfuscator, IL editor and more...
DotNet Dumper 1.0 - Дампер .net'овских приложений. Подробное описание
Kurapica dotNET Tracer 1.1 - трейсер от известного автора инструментов для .net
ILSpy 1.0.0.481 - Opensource комбайн, на подобие SAE. Подробности тут
dotTrace Performance 4.0.665.4 - Неплохой трейсер для .Net приложений. Умеет делать трейсы не смешивая потоки как KDT. Умеет сравнивать трейсы двух запусков программы
Рег-данные:

Universal Fixer 1.0 - fix dumps after dumping them whit Dotnet Dumper or other similiar tools and will also fix nasty things: multiple assembly/module definitions, wrong extends, etc.
iMPROVE .NET Deobfuscator - деобфускатор


ConfuserDumper
ConfuserDelegateKiller
CodeCrackerTools: ConfuserMethodsDecryptor, ConfuserDelegateKiller, ConfuserStringDecryptor, MegaDumper, etc.

Статьи с хабры:
Защита .NET приложений - Субъективная теоретическая муть с хабры, выдаваемая за обзор обфускаторов(только для фанатов)
Как обмануть NET.Reflector - вот это уже годная статья, в которой рассматривается ручная обфускация в стихах и картинках
Взлом программ для чайников - ну не знаю...прописные истины, но приятно, что все это есть на русском языке и нормально оформлено
Реверс-инжиниринг обфусцированной сборки .NET - один только заголовок чего стоит. По сути статья информативная
Инъекции MSIL кода в стороннюю сборку при помощи Mono.Cecil. Реализация принципов АОП в NET
Избавление .NET программы от регистрации на примере BEM
Снимаем дамп объектов с памяти .Net приложения

Другое:
.NET Reflector v7.0.0.198 (C# Source by wangshy)
[url=http://lifeinhex.com/string-decryption-with-de4dot/]String decryption with de4dot[/url

-

Last edit: 2012-02-17, Links fixed. Jupiter]

| Сообщение посчитали полезным:

Jonny
Спасибо, поковыряюсь.

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

Запись происходит в dnlib.DotNet.Writer.MetaData.WriteMethodBodies()
нужно его переделать, например на след.:
перед циклом создаем объект PEImage из ориг. образа
и вместо

читаем сырые байты используя например MethodBodyReader


| Сообщение посчитали полезным:

Идея понятна, но MethodBodyReader не отдаст сырые байты, он парсит при чтении. Во всей либе он используется только в методе ReadCilBody, там видно что он ждёт параметры метода, тело которого читается, и в кишках самого ридера видно, что происходит в методе Read - там считываются и парсятся заголовки, локальные переменные, инструкции и т.д.. В общем, сырыми байтами не пахнет (

Похоже надо где-то подсмотреть размеры тела метода и попробовать считать его исходя из оффсета и размера обычным дедовским способом "как есть", а потом передать в конструктор MethodBody вместо writer.Code.
И посмотреть что будет

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

4kusNick пишет:
Похоже надо где-то подсмотреть размеры тела метода и попробовать считать его исходя из оффсета и размера обычным дедовским способом "как есть", а потом передать в конструктор MethodBody вместо writer.Code.
method.RVA указывает на тело метода. Его формат расписан "Common Language Infrastructure (CLI)
Partition II: Metadata Definition and Semantics" 25.4 Common Intermediate Language physical layout.
Процесс сводится к чтению заголовка (бывает двух видов, потом вычленение из заголовка размера массива байтов самих инструкций, и еще чтение доп секций после кода, если есть (указывается также в заголовке)). Все это реализовано в MethodBodyReader. И чтобы не переписывать все заново , как вариант - добавить в CilBody свойство RawData и в методе MethdoBodyReader.Read читать в него, а в MethdoBodyWriter - использовать.

Upd: Чтобы сделать более универсальным, добавить в Metadata.options новый флаг - CliBodyRawMode и отталкиваясь от его значения, включать или выключать режим чтения сырых байтов.

| Сообщение посчитали полезным:

Не понял чего надото превратить метод в байт массив?

Возьмите в проект)))


На раз рекомендую Metadatareader от Bogdan

На два код Universal Fixera от Codecrackera давно уже есть в сети-там все офигенно)))

| Сообщение посчитали полезным:

Есть какие то идеи по снятию ilprotector ? Какаето новая версия, дедот не берет, даже не знаю с какой стороны подступить...

4c8e_22.09.2013_EXELAB.rU.tgz - Altair-keyboard.exe

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

KingSise пишет:
Есть какие то идеи по снятию ilprotector ? Какаето новая версия, дедот не берет, даже не знаю с какой стороны подступить...
Для начала попробуй открыть в ilspy например.
Изучаем статический конструктор <Module> - видим, что защита упирается в вызов внешней функции keysbrxx.P0 и последующей иницализации диспетчера функций, через которую и происходит вызов методов в сборке. В архиве данного dll нет.

| Сообщение посчитали полезным:

4kusNick пишет:
MethodBodyReader не отдаст сырые байты, он парсит при чтении.
Припоминается что в SAE есть функция дампануть бади в файл и назад

| Сообщение посчитали полезным:

sendersu пишет:
Припоминается что в SAE есть функция дампануть бади в файл и назад
SAE использует патченый Mono.Cecil я как раз и "допиливал" его под чтение/запись тела метода в массив байт
А здесь речь идет о dnlib (если я правильно понял) или каких-то других библиотеках работающих с Net сборками

| Сообщение посчитали полезным:

KingSise
последний de4dot нормально снял.

ILProtector использовался старый, последний добавляет статическое поле int a в <Module>

deb1_27.09.2013_EXELAB.rU.tgz - Altair-keyboard-cleaned.exe

| Сообщение посчитали полезным: KingSise

Вроде не видел этого сабжа тут.
Довольно интересный.
http://digitalbodyguard.com/graywolf.html

PS: Плохо искал, проскакивал.
Извиняюсь.

| Сообщение посчитали полезным:

Вроде в шапке нет, http://www.netdecompiler.com/

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco
Это древний, платный тул, последний раз в 2007 обновлялся, со свежим дотнетом не умеет работать, а со старым работает через пень-колоду, думаю по-этому его нет в шапке..

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

Господа... и дамы (если такие имеются)!!!!!
Один маленький вопрос)))
Схематично что? я должен поправить в NET PE- файле в случае если я в одном из методов увеличил Method.Body на 10 байт...?
Из вводных к вопросу
1.Размер секции кода менять не нужно
2.Заголовок файла полностью серилизован.(DOS-header,PE-header,Data section c CLR directory).Все таблицы как на ладони))))

З.Ы. Ногами не пинать))))) я не колобок

| Сообщение посчитали полезным:

Биля..... Господ и дам по ходу нет - ни одного совета

| Сообщение посчитали полезным:

Medsft
Да просто никто не знает. Может ничего менять и не нужно? А может мету поправить только.

-----
старый пень

| Сообщение посчитали полезным:

Medsft
вопрос некорректный. что значит увеличили Method.Body? изменили размер в заголовке метода? если так то понятно что и тело должно быть увеличено на столько же, иначе в метод попадёт незнамо чо).
Если же вы используете например моно, и где то там меняете размер метода, то хз что будет) предлагаю поменять и посмотреть)

-----
zzz

| Сообщение посчитали полезным:

zeppe1in пишет:
вопрос некорректный - согласен наверное...
Опишу подробнее
-берем файло превращаем в байт массив (до этого выяснили rva метода )
-берем их него секцию содержащую код
находим в секции место где лежит наш метод (обращаю внимание его Body!!!)
делим секцию на два куска один от начала до конца метода(его Body!!!) второй соответственно вся оставшаяся часть с нулями для выравнивания
и раздвигаем данные на к примеру 10 байт
затем все это обратно в льем в filestream
имеем на выходе
размер файла не изменился
физический размер секции не изменился
ясен пень изменились адреса методов что ниже вклееного нами куска - их поменяю (зная на сколько мы увеличили сам метод) соответственно всем на столько в таблице сдвинем rva
а еще чего надо изменить в заголовке файла то?

Кривое получилось наверное обьяснение ну уж извините

| Сообщение посчитали полезным:

Medsft
сырки рефлексила не спасают (если правильно понял)?

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

Рефлексил юзает сесил, а Medsft как я понял сам пытается править, без либ сторонних, дваже сырки сесила ему не помогут, т.к. там пересобирается вся сборка.

Medsft
Так вы пробовали в текущем виде результат проверять? Может ничего и не надо менять кроме смещений остальных методов?

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

4kusNick пишет:
Так вы пробовали в текущем виде результат проверять? - чето не хватает не робит..(

Обьясню для чего мне это надо..
Лабаю PatcherNet -это я его так назвал))))) некую dll для прямого патчинга NET-файла. Сторонние библы типа DNLib, NETPE, MetadataReader - используются только для того чтобы разпарсить мету, тело метода, и превратить его в байт-массив, все дальнейшие операции по патчингу производятся строго на уровне byte-патч в filestreame (как вы уже догадались все остальные варианты с защищенными файлами не робят). Уже сейчас могу: нопить любые инструкции, обращать условные переходы т.е. могу делать все че угодно при условии что тело метода не меняет своего размера. И вот настало время когда хочется раздвигать или сдвигать тела методов поэтому и возник етот вопрос

| Сообщение посчитали полезным:

ajax пишет:
сырки рефлексила не спасают точно ведь там идет заново сборка файла

| Сообщение посчитали полезным:

Medsft пишет:
Обьясню для чего мне это надо..
Тогда стоит изучить документ http://www.ecma-international.org/publications/files/ECMA-ST/ECMA-335.pdf
По сути вопроса, если не ошибаюсь, до достаточно только указывать валидный RVA в таблице MethodDef и не забывать про выравнивание адресов начала тел методов. В общем, кури доку там много чего полезного

| Сообщение посчитали полезным:

HaRpY пишет:
В общем, кури доку там много чего полезного HaRpY открыл доку ... ей абитуриентов кто на программерские факультеты поступать хочет, пугать )))) за пару деньков так до вступительного экзамена нака типа почитай документик ... сто пудов прогеров в разы меньше было

| Сообщение посчитали полезным:

Дык, не наизусть же учить заставляют
I I . 2 5 . 4 - Полезная инфа и про выравнивание методов есть
Я думаю, что авторы вышеперечисленных библиотек, данный док штудировали конкретно...

| Сообщение посчитали полезным:

может в execptionhanderax затык?

| Сообщение посчитали полезным:

Medsft пишет:
может в execptionhanderax затык?
Ты писал, что увеличивал метод на 10 байт, что не кратно 4. Выравнивание fat-методов "поплыло". Так работать не будет. Ну это навскидку...
А так чтобы не гадать, прикладывай тестовую сборку до/после патчей.

| Сообщение посчитали полезным:

HaRpY пишет:
Ты писал, что увеличивал метод на 10 байт, что не кратно 4. Выравнивание fat-методов "поплыло". Так работать не будет. Ну это на вскидку... так с этим разобрался путем:
сначала делаем с методом че хотим в DNLibe потом оттуда получаем байт-массив с инфой о методе т.е. сам метод выглядит не прикопаешься... а потом етот массив впиливаем в наш файлстим, корректируем таблицу методов... пока все

| Сообщение посчитали полезным:

Размер смещения узнаем size метода старый - size новый

| Сообщение посчитали полезным:

Medsft
Вопрос немного не по теме:
Medsft пишет:
Лабаю PatcherNet -это я его так назвал))))) некую dll для прямого патчинга NET-файла.
Это что за проект такой у Вас? Можно чуток поподробнее? DLL - плагин какой?

P.S. Можно в личку...

-----
One death is a tragedy, one million is a statistic.

| Сообщение посчитали полезным: