Со времени создания топика много обсудили, во много м разобрались и много осталось за кадром. Решил подшить выкладываемый софт и линки

Инструменты:

dnSpy - бодрый декомпилятор и отладчик тут беты

Gray Wolf - DE-ObfuScatE / Edit IL(Live) / Add payloads / Edit attributes(public/privet) / Copy strong names signing on EXE/DLL
ReSharper 6.0 Build 2093 Pre-Release - Очень навороченый декомпилер, побробности --> ТУТ <--.
Рег-данные:

Reflector 8.3.3.115 - платный декомпилятор .NET 8.3.0.95 + (дополнение к нему)
Седьмая версия рефлектора - думаю все знают
Сборка Add-in'ов для Reflector - есть много полезных вещей
.Net ID 1.0.0.3 - определение защиты
DNiD by Rue - сигнатурный анализатор
Dotnet IL Editor (DILE)- Opensource дизассемблер и дебаггер
Xenocode Fox Code Analyzer- профайлер и дизассемблер
Reactor Decryptor 1.7 - что то декриптит, но что не понятно(с) zeppe1in
Simple Assembly Explor (SAE) - Assembler, Disassembler, Deobfuscator, IL editor and more...
DotNet Dumper 1.0 - Дампер .net'овских приложений. Подробное описание
Kurapica dotNET Tracer 1.1 - трейсер от известного автора инструментов для .net
ILSpy 1.0.0.481 - Opensource комбайн, на подобие SAE. Подробности тут
dotTrace Performance 4.0.665.4 - Неплохой трейсер для .Net приложений. Умеет делать трейсы не смешивая потоки как KDT. Умеет сравнивать трейсы двух запусков программы
Рег-данные:

Universal Fixer 1.0 - fix dumps after dumping them whit Dotnet Dumper or other similiar tools and will also fix nasty things: multiple assembly/module definitions, wrong extends, etc.
iMPROVE .NET Deobfuscator - деобфускатор


ConfuserDumper
ConfuserDelegateKiller
CodeCrackerTools: ConfuserMethodsDecryptor, ConfuserDelegateKiller, ConfuserStringDecryptor, MegaDumper, etc.

Статьи с хабры:
Защита .NET приложений - Субъективная теоретическая муть с хабры, выдаваемая за обзор обфускаторов(только для фанатов)
Как обмануть NET.Reflector - вот это уже годная статья, в которой рассматривается ручная обфускация в стихах и картинках
Взлом программ для чайников - ну не знаю...прописные истины, но приятно, что все это есть на русском языке и нормально оформлено
Реверс-инжиниринг обфусцированной сборки .NET - один только заголовок чего стоит. По сути статья информативная
Инъекции MSIL кода в стороннюю сборку при помощи Mono.Cecil. Реализация принципов АОП в NET
Избавление .NET программы от регистрации на примере BEM
Снимаем дамп объектов с памяти .Net приложения

Другое:
.NET Reflector v7.0.0.198 (C# Source by wangshy)
[url=http://lifeinhex.com/string-decryption-with-de4dot/]String decryption with de4dot[/url

-

Last edit: 2012-02-17, Links fixed. Jupiter]

| Сообщение посчитали полезным:

Ом. Так это оказывается Red Gate прибили SAE на Google Code! 0_o
DMCA Complaint нашлась от них.
Я так понял из-за триального Reflector'a, странно что бучу не подняли, где эти защитники opensource ?
И странно, что админы просто не удалили файл и не восстановили сайт SAE, автор пытался восстановить.

| Сообщение посчитали полезным: sendersu

подскажите пожалуйста
программа выдает окно ошибки. текст ошибки нашел в dll, если смотреть в текстовом файле. но ни как не могу найти этот же текст в Рефлекторе или SAE, где он используется. нужно чтобы найти функцию\процедуру выводящую данную ошибку.
подскажите как решается этот вопрос? опыта работы с NET почти нет, это первая программа.

| Сообщение посчитали полезным:

zds
Декомпилируй в сорки рефлектором, потом Тотал коммандер -> ALT+F7, и ищешь в файлах нужные строки (ну и параллельно уже смотришь в рефлекторе/другом декомпилере). Я софта на .net отломал не много, но именно такая схема часто приходила на помощь.

-----
ds

| Сообщение посчитали полезным: zds

Юзайте поиск по константам: http://i.imgur.com/rjZw19x.png (скрин из ILSpy).

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным: zds

4kusNickпробовал, не получилось.
способ DimitarSerg оказался удачным. оказалась строка находится в ресурсах (а Рефлектор и SAE почему то не ищут там, и самому почему то в голову не пришел такой вариант - опыта крайне мало видимо). посмотрел в ресурсах какое имя у данной строки и уже по имени нашел нужный вызов. все получилось.

| Сообщение посчитали полезным:

Здравствуйте, есть софт, написан на шарпе, обфусцирован неизвестно чем и запротекчен энигмой
от протектора избавляюсь дампом exe (MegaDumper от SnD) и после фикс экзешника UniversalFixer'ом, ранее оно защищалось Confuser'ом, и спасал NoFuser + последующая чистка кода De4Dot'ом, что там за обфускация сейчас - все анализаторы, что я использовал, молчат =\
могли бы вы помочь? желательно, хоть в кратце описав, как вы это сделали
Залью файл на rghost, ибо он чуть больше максимального размера аттача
--> Link <--

| Сообщение посчитали полезным: igorca

помогите пожалуйста с файликом
http://gfile.ru/a4Ri5
анализатор пишет что, обфусцирон Dotfuscator
пробовал деобфусцировать SAE, dedot, de4dot, но ни как не получается посмотреть некоторые функции. например меня интересует Paccar.Vpd.Controllers.IProvideSecurityController.RenewLicense(String) : Boolean
подскажите какой утилитой подправить файлик?

| Сообщение посчитали полезным:

zds пишет:
но ни как не получается посмотреть некоторые функции. например меня интересует Paccar.Vpd.Controllers.IProvideSecurityController.RenewLicense(String) : Boolean
Нечего там подправлять, т.к. в Controllers.I* и не должно быть никакого кода.
Вроде... )
Ищи проверку лицензии где-то выше в коде...

| Сообщение посчитали полезным:

uncleua пишет:
Нечего там подправлять, т.к. в Controllers.I* и не должно быть никакого кода.Вроде... )Ищи проверку лицензии где-то выше в коде...
странно...результат именно данной функции используется выше в коде
ладно, буду искать дальше...

| Сообщение посчитали полезным:

New de4dot 3.1.41592:

Support Agile.NET 6.3.0.10 - 6.3.0.18
Support CryptoObfuscator (latest build)
Support Eazfuscator.NET 4.2 - 4.3
Support ILProtector 2.0.11.1 - 2.0.13.1
Support more MaxtoCode runtimes
Detect .NET Reactor 4.8
Fix bug in Spices.Net resource renamer
Fix rare CSVM parser bug (it would fail to devirtualize all methods)

The de4dot project is now back @ github.com: https://github.com/0xd4d/de4dot
Download: https://github.com/0xd4d/de4dot/releases

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным: Dart Raiden, Airenikus, qwertyne, VodoleY, ZaZa, CyberGod, Xlab0s, zds, GeorgeS, Artem_N, igorca

de4dot 3.1.41592 with fix
С разрешения автора выкладываю версию de4dot, которая у меня успешно справилась с .Net Reactor 4.8
--> Link <--

| Сообщение посчитали полезным: 4kusNick, nick8606, LinXP

Кто нибудь 0xd4d подкидывал AppFuscator ?
Если нет дайте пожалуйста контакты его чтобы с ним связаться

| Сообщение посчитали полезным:

Mishar_Hacker
обращайтесь по email, который отображает de4dot при запуске

| Сообщение посчитали полезным:

либо на тутсях

| Сообщение посчитали полезным:

Его уже спрашивали про AppFuscator пару раз:
http://board.b-at-s.info/showtopic=8359&p=21226
http://board.b-at-s.info/showtopic=8359&p=19750

Но эти посты остались без его внимания, лучше отписать все-таки на почту.

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

Какой из редакторов нормально показывает данные инициализации статических полей класса?
Был рефлектор, но он не жует многие обфусцированные сборки.
SAE показывает только кусок данных в хинте при наведении.
Остальные вообще ничего не показывают.

-----
старый пень

| Сообщение посчитали полезным:

new .net detector:


DotNet Obfuscator Detector BETA
===============================


Introduction:

Because DNiD sources were lost and ProtectioniD doesn't detect many .NET protectors, I decided to create a new .NET Detector.

Features:

-Good detection with +85% probability. It doesn't show a result if it's not sure.
-Gives clear information about what is/are the protector/s.
-It even gives information if it's a trial version and how many days are left.
-Drag and drop is enabled.
-Quickly access and check the obfuscator!


Usage:

1st: Drag and drop any .NET PE and press Scan.
2nd: Wait the application to scan it.
3rd: Enjoy (or be sad) about the results.

External Database:

DotNet Obfuscator Detector has also an external database. See database.txt for more information.



NOTE: Because it's a BETA version I need to test it fully but it should run correctly.

Ahh as it's BETA I would like to keep the source. I will share it when it gets better ;)

Thanks,
LordCoder // TEAM REiS

7231_27.04.2014_EXELAB.rU.tgz - DotNet Obfuscator Detector BETA.zip

| Сообщение посчитали полезным: zds, 4kusNick, Now

sendersu
Спасибо. Пока сыровато и мало что умеет детектить, но радует, что появился еще один инструмент.
Мыло для багрепортов я так понимаю, такое: teamreis собако mail.ru (мэйлру?! Оо).

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

sendersu пишет:
new .net detector
Без обид: считаю, данный инструмент бесполезным!

Самый лучший детект на данный момент у De4Dot!
Если не детект у него, то и деобфусцировать нет смысла...
Открываем в рефлекторе или еще где, и визуально видно... Скармливаем de4dot и видим обфускатор, попутно снимая его...
Лучше не придумать. Разве, что в плане общего развития!

-----
One death is a tragedy, one million is a statistic.

| Сообщение посчитали полезным: ajax

ZaZa
Детектит оно пока фигово конечно, но standalone детектор всё равно нужная штука. В конкретно этом дететкоре многого нет из полезных вещей (например оч. нехватает показателей mixed сборки, подписанности сборки), но есть кое-что, чего не было в предыдущих паблик детекторах - указатель на entry point (хоть целесообразноть и мала, т.к. многие декомпили умеют прыгать на EP, все равно приятно). Посмотрим, что автор будет дальше делать, будет ли обновлять и что ещё из полезностей запилит.

ZaZa пишет:
Самый лучший детект на данный момент у De4Dot!
Если не детект у него, то и деобфусцировать нет смысла...
Отнюдь, ведь если обфу неизвестен (что бывает очень часто), всё ещё можно подчистить сборку аккуратно, хотябы имена в божеский вид привести.

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

ZaZa пишет:
Если не детект у него, то и деобфусцировать нет смысла...
Господа) Эта тема видна ДАЖЕ незарегистрированным посетителям форума.
Они что о нас подумают... что МЫ только автоматическими распаковщиками пользуемся?

| Сообщение посчитали полезным:

Очередная моя мелкая модификация ByteME:

- вывод типа возвращаемого значения у всех методов в дереве (на скрине красным обведено)
- сортировка всего дерева по имени (вроде бы уже выкладывал ранее версию с сортировкой)
- сортировка выпадающего списка опкодов в окошке редактирования
- центровка окна при запуске
- центровка окошка редактирования по главном окну программы, а то раздражало, когда оно появлялось чёрти где

Скрин: http://i.imgur.com/ZQgZk8n.png
Скачать: --> Link <--

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным: Hellspawn, JohnyDoe, nick8606, Alinator3500, DICI BF

Есть вопрос.
Не помню что бы здесь упоминалась тема доклада "Defcon 18 - Hacking Net applications Jon McCoy"
http://www.youtube.com/watch?v=oxoRzCf78cA
Суть - процесс похожий на отладку обычных натив приложений в рантайм, только с простотой .Net и GUI. Чем бы не была накрыта программа .Net, она исполняется в CLR, владея которой можно делать что угодно.

На хабре недавно была тема по платному семинару (http://habrahabr.ru/company/luxoft/blog/221787/), где вроде как коснуться этой темы.

Есть ли у Вас уже наработки по аналогичному Jon McCoy методу?
(Держать на PC свой .Net, где все подконтрольно(докладчик вскользь затронул эту возможность))

| Сообщение посчитали полезным:

Я слышал про использование таких приёмов, но они не всегда целесообразны. Например, отлаживать запутанный обфускатором код - сомнительное удовольствие.
А если уж начинать доеобфусцировать, то лучше до конца, и там дальше уже все обычными инструментами делается.

Вцелом, пока не попадалось сборок, которые требовали бы именно такого подхода, обычный цикл дамп \ фикс \ деобф + иногда напильник пока нормально работал - отлаживай после этого чем угодно.

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

Свежий блог известного (в кругах .NET реверсеров) "коллеги", кладезь инфы по разбору некоторых обфускаторов и не только:
http://ubbecode.wordpress.com/

Не проходите мимо: заметный + к скиллам тем, кто осилит все доки с блога - обеспечен =)

Кстати, в этом блоге я заметил интересную новость:
Автор Confuser запилил своё ответвление ILSpy, оно читает файлы не через Mono.Cecil, а через либу автора дедота (dnlib) для повышенной устойчивости при работе с обфусцированными сборками. IL байткод должен читаться нормально, а вот его представление в виде C# / VB уже может привести к падению.
Сорцы
Бинарники

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным: sendersu, Medsft, nick8606, DenCoder, ZaZa, Alinator3500

4kusNick пишет:
Кстати, в этом блоге я заметил интересную новость запилить то запилил да вот сырки странные какието ... основная вкуснятина перевод decompilera с моно на dnlib однако то что качается с github.com старый код((((

| Сообщение посчитали полезным:

Самое интересное там в папке Decompiler как я понимаю, посмотрите коммиты и сразу станет понятно где и что он менял.

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

У кого какие мысли по работе компилятора студия 10
Код метода такой:

private bool gettrue()
{
return true;
}

При компиляции в debuge Il Code вид:
IL_0000: /* 00 | */ nop
IL_0001: /* 17 | */ ldc.i4.1
IL_0002: /* 0A | */ stloc.0
IL_0003: /* 2B | 00 */ br.s IL_0005
IL_0005: /* 06 | */ ldloc.0
IL_0006: /* 2A | */ ret

При компиляции в релизе Il Code вид:
IL_0000: /* 17 | */ ldc.i4.1
IL_0001: /* 2A | */ ret

Нафига так?

| Сообщение посчитали полезным:

Medsft пишет:
У кого какие мысли по работе компилятора студия 10
Код метода такой:

private bool gettrue()
{
return true;
}
Оптимизация, в дебаге много лишнего генерится и это нормально.

| Сообщение посчитали полезным:

Всем привет
Что посоветуйте для agile.net de4dot не берет
Спасибо всем за понимание и ответы

| Сообщение посчитали полезным: