Со времени создания топика много обсудили, во много м разобрались и много осталось за кадром. Решил подшить выкладываемый софт и линки

Инструменты:

dnSpy - бодрый декомпилятор и отладчик тут беты

Gray Wolf - DE-ObfuScatE / Edit IL(Live) / Add payloads / Edit attributes(public/privet) / Copy strong names signing on EXE/DLL
ReSharper 6.0 Build 2093 Pre-Release - Очень навороченый декомпилер, побробности --> ТУТ <--.
Рег-данные:

Reflector 8.3.3.115 - платный декомпилятор .NET 8.3.0.95 + (дополнение к нему)
Седьмая версия рефлектора - думаю все знают
Сборка Add-in'ов для Reflector - есть много полезных вещей
.Net ID 1.0.0.3 - определение защиты
DNiD by Rue - сигнатурный анализатор
Dotnet IL Editor (DILE)- Opensource дизассемблер и дебаггер
Xenocode Fox Code Analyzer- профайлер и дизассемблер
Reactor Decryptor 1.7 - что то декриптит, но что не понятно(с) zeppe1in
Simple Assembly Explor (SAE) - Assembler, Disassembler, Deobfuscator, IL editor and more...
DotNet Dumper 1.0 - Дампер .net'овских приложений. Подробное описание
Kurapica dotNET Tracer 1.1 - трейсер от известного автора инструментов для .net
ILSpy 1.0.0.481 - Opensource комбайн, на подобие SAE. Подробности тут
dotTrace Performance 4.0.665.4 - Неплохой трейсер для .Net приложений. Умеет делать трейсы не смешивая потоки как KDT. Умеет сравнивать трейсы двух запусков программы
Рег-данные:

Universal Fixer 1.0 - fix dumps after dumping them whit Dotnet Dumper or other similiar tools and will also fix nasty things: multiple assembly/module definitions, wrong extends, etc.
iMPROVE .NET Deobfuscator - деобфускатор


ConfuserDumper
ConfuserDelegateKiller
CodeCrackerTools: ConfuserMethodsDecryptor, ConfuserDelegateKiller, ConfuserStringDecryptor, MegaDumper, etc.

Статьи с хабры:
Защита .NET приложений - Субъективная теоретическая муть с хабры, выдаваемая за обзор обфускаторов(только для фанатов)
Как обмануть NET.Reflector - вот это уже годная статья, в которой рассматривается ручная обфускация в стихах и картинках
Взлом программ для чайников - ну не знаю...прописные истины, но приятно, что все это есть на русском языке и нормально оформлено
Реверс-инжиниринг обфусцированной сборки .NET - один только заголовок чего стоит. По сути статья информативная
Инъекции MSIL кода в стороннюю сборку при помощи Mono.Cecil. Реализация принципов АОП в NET
Избавление .NET программы от регистрации на примере BEM
Снимаем дамп объектов с памяти .Net приложения

Другое:
.NET Reflector v7.0.0.198 (C# Source by wangshy)
[url=http://lifeinhex.com/string-decryption-with-de4dot/]String decryption with de4dot[/url

-

Last edit: 2012-02-17, Links fixed. Jupiter]

| Сообщение посчитали полезным:

nofuser v1.1
Перелезайте плиз

| Сообщение посчитали полезным:

Mishar_Hacker
тут приаттаченый - https://forum.tuts4you.com/topic/35345-unpackme-net-safengine/#entry163255

| Сообщение посчитали полезным: Mishar_Hacker

подскажите, что за протектор -


А вот парочка классов -


1b01_21.06.2014_EXELAB.rU.tgz - class.rar

| Сообщение посчитали полезным:

Есть еще дебагеры для NET кроме Dile ? У меня он что-то не хочет останавливаться на брейкпоинтах, как и Рефлектор с аддоном Дефлектор.

| Сообщение посчитали полезным:

Anunimus3 пишет:
подскажите, что за протектор -

AppFuscator

| Сообщение посчитали полезным: Anunimus3

avqse это онлайн обфускатор получается.

| Сообщение посчитали полезным:

Anunimus3
Да, и дедот его не поддерживает (как низкопопулярный) ;)

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

Есть софт, обфусцированный при помощи confuser, плюс накрыт энигмой. Мегадампер успешно его дампит, но .net метадата оказывается битой. В частности, MetaData RVA и MetaData Size при просмотре в CFF равны нулю.
Из-за чего может биться метадата? Если это делает протектор, то какие есть методы восстановления?

| Сообщение посчитали полезным:

poratonko пишет:
.net метадата оказывается битой universal fixer от CodeCracker`a тебе в руки

| Сообщение посчитали полезным:

Medsft пишет:
universal fixer от CodeCracker`a тебе в руки
Он ругается:


Дело в том, что у меня даже BSJB-сигнатуры в дампе нет. Сам CodeCracker, на аналогичный вопрос, на тутсях ответил, что в таком случае что-то не так с дампом. С другой стороны, чем еще можно сдампить-то? Честно говоря, никогда не сталкивался с такой ситуацией. Кроме того, весь софт говорит на дамп, что это неправильный .net pe файл. Так что пытаюсь разобраться дальше...

| Сообщение посчитали полезным:

а дампил то чем? Megadumperom?

| Сообщение посчитали полезным:

Да, им. Но всем остальным, в том числе и вручную, тоже.

| Сообщение посчитали полезным:

poratonko
А ты точно дампишь уже запущенную софтину, а не во время энигмового нага "Введите ключ", а то многие так пытаются сдампить.

| Сообщение посчитали полезным:

Да, конечно. Софт загружается, появляется главное окно с диалогами. Если кому интересно, могу в личку прислать таргет посмотреть.

| Сообщение посчитали полезным:

Разобрался с опциями конфузера и добился такого же результата на моем .net crackme

ConfuserEx 0.2.1 (antidump only) + Enigma 4.20


http://www11.zippyshare.com/v/92637396/file.html

| Сообщение посчитали полезным:

poratonko



http://rghost.ru/56622203

| Сообщение посчитали полезным:

Был бы рад услышать немного подробностей о распаковке

| Сообщение посчитали полезным:

Поставил бряк на _CorExeMain, выскочила системная ошибка, сдампил.
собственно все, больше никаких телодвижений.

| Сообщение посчитали полезным: poratonko

Спасибо, буду пробовать и сам.

| Сообщение посчитали полезным:

ILSpy 2.2:
"It's been more than 2 years since the previous release. The ILSpy core team has been busy with SharpDevelop 5, so we haven't done much on ILSpy -- just some bugfixes.

However, we've had several external contributors who have supplied us with a few new features (and lots of bugfixes):

#345: Added option to allow folding on all braces
#345: Added context menu to code view with folding commands
#384: Show all images contained in .ico resource
#423: Decompiling as a Visual Studio project now creates AssemblyInfo file
#467: Added option to display metadata tokens in tree
Fixed lots of decompilation bugs
In the future, our team would like to get back to work on ILSpy. We have some ideas for a new decompiler engine that could fix many of the remaining decompilation issues, and hopefully simplify our code at the same time."

https://github.com/icsharpcode/ILSpy/releases/download/2.2/ILSpy_2.2.0.1706_Binaries.zip

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным: vovanre, sendersu, DICI BF

Всем добра, может ли какая нибудь софтина следующее: копировать все инструкции с одного метода, а потом вставить в другой? Инструкций море - руками замучаюсь переносить.

| Сообщение посчитали полезным:

DICI BF пишет:
может ли какая нибудь софтина следующее: копировать все инструкции с одного метода, а потом вставить в другой?

SAE может

| Сообщение посчитали полезным: DICI BF

Всем привет, не подскажите трейсер или как отловить систем секьюрити эксепшн?
дедотом снят нет протектор, прога прекратила запускаться
отловил чрез ExceptionLogger-ом CodeCrackerTools, что где-то есть проверка стронгнайма... как бы отловить откуда?

| Сообщение посчитали полезным:

а может просто ты протектор плохо снял? fixer`om фиксил?

| Сообщение посчитали полезным:

Как открыть .NET приложение в Ollydbg ? У меня не хочет, может плагин для дебаггера какой нужно?

| Сообщение посчитали полезным:

MrCryptor пишет:
Как открыть .NET приложение в Ollydbg ?

Зачем усложнять себе жизнь? Ведь есть масса инструментов, специально предназнaченных для работы с .NET, которые прекрасно справляютсй с задачей. (смотри выше)
Какая необходимость использовать в данном случае именно OllyDbg?

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

plutos
Я вот, например, использую OllyDbg с .NET для отладки DLL, которые цепляет программа.

MrCryptor
Если просто прицепиться к программе:
1. Открываем в OllyDbg программу и она стартует
2. Нажимаем паузу и трассируем... ВСЕ!

Если надо прицепиться на старте (OEP):
1. Запускаем OllyDbg.
2. В меню "Options" -> "Debugging options", на вкладке "Events" ставим галку: "Brake on new module (DLL)". Жмем ОК.
3. Открываем программу. Открывается окно "Executables modules"
5. В командной строке пишем "bp _CorExeMain" (без кавычек) и нажимаем Enter.
6. В меню "Options" -> "Debugging options", на вкладке "Events" убираем галку: "Brake on new module (DLL)". Жмем ОК.
7. Нажимаем Run... ВСЕ, мы остановились на OEP (почти)...

-----
One death is a tragedy, one million is a statistic.

| Сообщение посчитали полезным: DimitarSerg, Gideon Vi

ZaZa у меня при попытке открыть в олли .NET приложение, выскакивает вот такая ошибка:



Может в опциях что включить или выключить надо?

| Сообщение посчитали полезным:

А может просто на нем висит пакер NETZ?
Довольно примитивный, использует сжатие ZIP. В ресурсах хранится то, что надо...
Анпакает, ищет точку входа и вызывает ее через Invoke.
А вот и unpack: --> Unpack NETZ <--

Дай ссылку где скачать...

-----
One death is a tragedy, one million is a statistic.

| Сообщение посчитали полезным:

ZaZa

Так и есть, упаковано с помощью netz. Вот хотел снять этот пакер с помощью Олли по туториалу:
http://rghost.ru/private/56928313/3c2dd501ec473b751f6c192e243f0b01

Но, проблема в том что Олли не открывает данное приложение.

| Сообщение посчитали полезным: