Со времени создания топика много обсудили, во много м разобрались и много осталось за кадром. Решил подшить выкладываемый софт и линки

Инструменты:

dnSpy - бодрый декомпилятор и отладчик тут беты

Gray Wolf - DE-ObfuScatE / Edit IL(Live) / Add payloads / Edit attributes(public/privet) / Copy strong names signing on EXE/DLL
ReSharper 6.0 Build 2093 Pre-Release - Очень навороченый декомпилер, побробности --> ТУТ <--.
Рег-данные:

Reflector 8.3.3.115 - платный декомпилятор .NET 8.3.0.95 + (дополнение к нему)
Седьмая версия рефлектора - думаю все знают
Сборка Add-in'ов для Reflector - есть много полезных вещей
.Net ID 1.0.0.3 - определение защиты
DNiD by Rue - сигнатурный анализатор
Dotnet IL Editor (DILE)- Opensource дизассемблер и дебаггер
Xenocode Fox Code Analyzer- профайлер и дизассемблер
Reactor Decryptor 1.7 - что то декриптит, но что не понятно(с) zeppe1in
Simple Assembly Explor (SAE) - Assembler, Disassembler, Deobfuscator, IL editor and more...
DotNet Dumper 1.0 - Дампер .net'овских приложений. Подробное описание
Kurapica dotNET Tracer 1.1 - трейсер от известного автора инструментов для .net
ILSpy 1.0.0.481 - Opensource комбайн, на подобие SAE. Подробности тут
dotTrace Performance 4.0.665.4 - Неплохой трейсер для .Net приложений. Умеет делать трейсы не смешивая потоки как KDT. Умеет сравнивать трейсы двух запусков программы
Рег-данные:

Universal Fixer 1.0 - fix dumps after dumping them whit Dotnet Dumper or other similiar tools and will also fix nasty things: multiple assembly/module definitions, wrong extends, etc.
iMPROVE .NET Deobfuscator - деобфускатор


ConfuserDumper
ConfuserDelegateKiller
CodeCrackerTools: ConfuserMethodsDecryptor, ConfuserDelegateKiller, ConfuserStringDecryptor, MegaDumper, etc.

Статьи с хабры:
Защита .NET приложений - Субъективная теоретическая муть с хабры, выдаваемая за обзор обфускаторов(только для фанатов)
Как обмануть NET.Reflector - вот это уже годная статья, в которой рассматривается ручная обфускация в стихах и картинках
Взлом программ для чайников - ну не знаю...прописные истины, но приятно, что все это есть на русском языке и нормально оформлено
Реверс-инжиниринг обфусцированной сборки .NET - один только заголовок чего стоит. По сути статья информативная
Инъекции MSIL кода в стороннюю сборку при помощи Mono.Cecil. Реализация принципов АОП в NET
Избавление .NET программы от регистрации на примере BEM
Снимаем дамп объектов с памяти .Net приложения

Другое:
.NET Reflector v7.0.0.198 (C# Source by wangshy)
[url=http://lifeinhex.com/string-decryption-with-de4dot/]String decryption with de4dot[/url

-

Last edit: 2012-02-17, Links fixed. Jupiter]

| Сообщение посчитали полезным:

Вот такой интересный плагин прикреплю. На тутсях по просьбе залили.
Reflector.NetCryptoScanner v1.0.0.1 Add-In
Тут описание и как выглядит:
_http://ahmedhidri.wordpress.com/2009/06/24/reflector-net-crypto-scanner-addin/

3450_19.01.2014_EXELAB.rU.tgz - Reflector.NetCryptoScanner.rar

-----
ds

| Сообщение посчитали полезным: nick8606, TLN

zuzzz
http://www.solidfiles.com/d/b4ce26398b/

| Сообщение посчитали полезным: zuzzz

update --> Reflector 8.3.3.115 <--

| Сообщение посчитали полезным:

GrayWolf – Is a reverse engineering tool (focused on .NET Framework Applications)

Currently - is in a late beta stage It is similar to IL-Spy but this has a focue on edit/attack.
GrayWolf was a tool I created to carry out research. The focus is on editing applications to make change quickly.

What can it do:
DE-ObfuScatE
Edit IL(Live)
Add payloads
Edit attributes(public/privet)
Copy strong names signing on EXE/DLL
--> Link <--

Там же еще
GrayDragon is an injection system to inject .NET application at runtime,
GrayFox is a auto GrayWolf

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным:

Было уже --> тут <-- и --> тут <--
Хорошо бы попросить ТС или модеров шапку в форме держать, много интересного уже затерялось на этих 30 страницах.

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

добавил GrayWolf, обновил Reflector, добавил iMPROVE .NET Deobfuscator.

-----
[nice coder and reverser]

| Сообщение посчитали полезным: 4kusNick

Есть ли Нормальный распаковшик xenocode 2009 и выше
Либо манула по распаковке
Смог снять дам через MegaDumper Но файл не рабочий полностью
+ Он накрыть Confuser 1.9 и при этом не хватает DLL которые должны быть
C Уважением Mishar

| Сообщение посчитали полезным:

Mishar_Hacker Скорее всего это сделано специально что бы после дампа ничего не работало. Часть функций могло быть откомпилировано в native.

-----
have a nice day

| Сообщение посчитали полезным:

Помогите новичку. Не могу понять где находится описание try finally блоков. Есть только опкод команда выхода endfinally, а где же прописывается начало блока и размер?
Хочу бинарно пропатчить dll. И нужно убрать try finally блок из метода или изменить размеры блока.

| Сообщение посчитали полезным:

существует ли аналог Restorator под c# ?
правка интерфейса программы вообщем

| Сообщение посчитали полезным:

Пошел за SAE, а там...:
Project Taken Down
What happened?

In response to a complaint we received under the U.S. Digital Millennium Copyright Act, we have removed project "simple-assembly-explorer".

| Сообщение посчитали полезным:

s0cpy
ну как бы --> ВОТ <-- последний

| Сообщение посчитали полезным:

Граждане, может выложит кто, у кого есть регистрация на exetools?...
http://forum.exetools.com/showthread.php?t=15422

| Сообщение посчитали полезным:

petro761
--> Link <--

| Сообщение посчитали полезным: petro761

Уже во всем разобрался.

| Сообщение посчитали полезным:

SAE заапдетилась

-----
старый пень

| Сообщение посчитали полезным: DimitarSerg, Jaa, Dazz, nick8606, tino, sierra, NikolayD, 4kusNick

прибито на Google Code

In response to a complaint we received under the U.S. Digital Millennium Copyright Act, we have removed project "simple-assembly-explorer".

-----
...или ты работаешь хорошо, или ты работаешь много...

| Сообщение посчитали полезным:

BfoX
сам так думал. Пройдешь по ссылке от r_e. Там, в самом низу, справа, есть мелкие кнопочки, в виде стрелок.

| Сообщение посчитали полезным:

Пытаюсь назначить тип переменной для v_27 тот же самый, что и у переменной v_8. Не получеатся. В списке такого типа переменной нет. Его прямое копирование из v_8 в v_27 не проходит.



Делал в SAE. Reflexil тоже не позволяет этого сделать. Как быть?

Операционка XP.

| Сообщение посчитали полезным:

Всех приветствую
Наткнулся на Один Обрусик
appfuscator
Онлайн проект
Вот файл
--> Link <--
Попробуй может у кого что нибудь получиться что то узнать
Или метод

Vovan666
Это не БОТ
v00doo
С начало узнайте что за софт!

| Сообщение посчитали полезным:

Нафига ботов обзывать UnPackMe?

| Сообщение посчитали полезным: Jaa

Простите за оффтоп, но все же напишу:
в его вопросах постоянно фигурируют боты или проты навешанные на этих ботов, я удивляюсь как его до сих пор не забанили...

| Сообщение посчитали полезным:

Попытаю удачу снова. Может в этот раз кто-то ответит.

Есть код.



меняю его на этот



Получаю сообщение о том что стек нарушен в точке вызова функции.

Поэкспериментировал в Unity. Он мне такой код сваял.



Но когда я в своем коде меняю ldfld на ldflda ничего не меняется. У меня все тот же битый стек.

Есть у кого-нибудь мысли о том в чем может быть проблема?

Вот так это выглядит на C#.


пытаюсь заменить на


Стек вроде как портится на момент вызова ToString(). Переменная aa типа int32, не статическая.

| Сообщение посчитали полезным:

не знаю, как в IL, но вот в джаве например у метода есть такое свойство, как количество локальных переменных, у тебя получается на одну больше в стеке, как мне кажется.
посмотри, есть ли такое в IL, и попробуй увеличить количество

| Сообщение посчитали полезным: JohnyDoe

Не-не. В моем коде нет локальных переменных.

Возможно имелась ввиду глубина стека?

У функции в которой я пытаюсь изменить код действительно значение maxstack меньше, чем у той в которой этот код работает. 6 против 13. Я пока не сталкивался с таким и не знаю где можно увеличить это значение. Попробую покопаться и потестить, но не до конца уверен что проблема именно в этом.

| Сообщение посчитали полезным:

.maxstack можно изменить через ildasm \ ilasm

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным: JohnyDoe

В коде функции имеются конструкции сложнее чем та, которую я пытаюсь изменить. Там стек на мой взгляд куда серьёзнее нагружается. Но я попробую конечно поиграться с maxstack'ом.

| Сообщение посчитали полезным:

проблема должна быть в этом, в джаве часто наталкивался (точнее в j2me, где не было верификации кода в момент выполнения). Эх, как давно это было...

| Сообщение посчитали полезным:

1 код на C# будет


твой вариант



Если функция Loader::stf_saveV статическая , вроде должен работать, иначе в стек нужно еще ложить объект лоадера

Upd:
Другой вариант - это изза того, что используется структура Int32. ldflda - получение ссылки на объект на стеке. возможно - это boxing или хз. Давно если честно не притрагивался к C#.

| Сообщение посчитали полезным: JohnyDoe

Вот, блин. Функцию stf_saveV забыл статической сделать. Ну, хотя бы познакомился с ildasm/ilasm.

Всем спасибо.

И вот такой вопрос по связке ildasm/ilasm

Сдампил dll. Получил такой код.



Собрал ilasm'ом. У dll возникли проблемы со стеком. Снова сдампил. Строка выше трансформировалась в строчку ниже.



Именно из-за этой строки возникает проблема. Хотелось бы понять почему так происходит. Искажается только эта строка. Все остальные идентичны.

| Сообщение посчитали полезным: