Со времени создания топика много обсудили, во много м разобрались и много осталось за кадром. Решил подшить выкладываемый софт и линки

Инструменты:

dnSpy - бодрый декомпилятор и отладчик тут беты

Gray Wolf - DE-ObfuScatE / Edit IL(Live) / Add payloads / Edit attributes(public/privet) / Copy strong names signing on EXE/DLL
ReSharper 6.0 Build 2093 Pre-Release - Очень навороченый декомпилер, побробности --> ТУТ <--.
Рег-данные:

Reflector 8.3.3.115 - платный декомпилятор .NET 8.3.0.95 + (дополнение к нему)
Седьмая версия рефлектора - думаю все знают
Сборка Add-in'ов для Reflector - есть много полезных вещей
.Net ID 1.0.0.3 - определение защиты
DNiD by Rue - сигнатурный анализатор
Dotnet IL Editor (DILE)- Opensource дизассемблер и дебаггер
Xenocode Fox Code Analyzer- профайлер и дизассемблер
Reactor Decryptor 1.7 - что то декриптит, но что не понятно(с) zeppe1in
Simple Assembly Explor (SAE) - Assembler, Disassembler, Deobfuscator, IL editor and more...
DotNet Dumper 1.0 - Дампер .net'овских приложений. Подробное описание
Kurapica dotNET Tracer 1.1 - трейсер от известного автора инструментов для .net
ILSpy 1.0.0.481 - Opensource комбайн, на подобие SAE. Подробности тут
dotTrace Performance 4.0.665.4 - Неплохой трейсер для .Net приложений. Умеет делать трейсы не смешивая потоки как KDT. Умеет сравнивать трейсы двух запусков программы
Рег-данные:

Universal Fixer 1.0 - fix dumps after dumping them whit Dotnet Dumper or other similiar tools and will also fix nasty things: multiple assembly/module definitions, wrong extends, etc.
iMPROVE .NET Deobfuscator - деобфускатор


ConfuserDumper
ConfuserDelegateKiller
CodeCrackerTools: ConfuserMethodsDecryptor, ConfuserDelegateKiller, ConfuserStringDecryptor, MegaDumper, etc.

Статьи с хабры:
Защита .NET приложений - Субъективная теоретическая муть с хабры, выдаваемая за обзор обфускаторов(только для фанатов)
Как обмануть NET.Reflector - вот это уже годная статья, в которой рассматривается ручная обфускация в стихах и картинках
Взлом программ для чайников - ну не знаю...прописные истины, но приятно, что все это есть на русском языке и нормально оформлено
Реверс-инжиниринг обфусцированной сборки .NET - один только заголовок чего стоит. По сути статья информативная
Инъекции MSIL кода в стороннюю сборку при помощи Mono.Cecil. Реализация принципов АОП в NET
Избавление .NET программы от регистрации на примере BEM
Снимаем дамп объектов с памяти .Net приложения

Другое:
.NET Reflector v7.0.0.198 (C# Source by wangshy)
[url=http://lifeinhex.com/string-decryption-with-de4dot/]String decryption with de4dot[/url

-

Last edit: 2012-02-17, Links fixed. Jupiter]

| Сообщение посчитали полезным:

Еще как (частный) вариант - попросить венду обходить вашу дллку боком
http://prntscr.com/4pzkou
(рис из SAE)
надо права админа

| Сообщение посчитали полезным:

хз это наверное если только сборка в GAC`ке - пробовать надо...
Ведь если она не в гаке фактически проверки и нет, есть только в других зависимых сборках референс по FullName на сборку.
А вот если она в GAC`ке то добавляется дополнительная проверка на crc (это я так эту проверку по простому обозвал)

| Сообщение посчитали полезным:

Medsft пишет:
есть только в других зависимых сборках референс по FullName на сборку.
Full name в себя включате и PubKeyToken, верно?
и тут вопрос - что деалет винда когда он есть
тоесть тупо strcmp своя + реф или считает

| Сообщение посчитали полезным:

Вопрос... хотя врятли тупо делает)))
Но это не отменяет, что патчить придется систему

| Сообщение посчитали полезным:

Обновка DotNet Resolver Version 3.3.0.1
Framework Version: 4.5
Mayor speed and optimization improvements are added, giving you faster and a better decompiled source code from any member. Other updates include custom attributes in MSIL, operator methods converted succesfully, contra and covariant generic types, new buttons, better error handling, improved syntax highlightion and more.

http://dotnetresolver.eu5.org/downloads.html


Обновка DILE v0.2.13

- fixed bug: assemblies which contained arrays that used the embedding type's or method's generic parameters were not disassembled correctly.
- fixed bug: in some rare cases the MainForm_HandleCreated event handler was not fired.
- changed the Dile.exe.config file to required only the client version of .NET 4 as that seems to be sufficient for running DILE.

http://sourceforge.net/projects/dile/files/DILE/v0.2.13/dile_v0_2_13_x86.zip/download
http://sourceforge.net/projects/dile/files/DILE/v0.2.13/dile_v0_2_13_x64.zip/download

| Сообщение посчитали полезным:

Лирическое отступление. В крекинге я новичок не более 20 дней назад влился в тему, приспичило мне крекнуть одну seo прогу, 10 дней читал как ломают приложения на .NET, ещё через 10 дней, появился результат, и моя первая прога (SickSubmitter) была успешно вылечена.

Сейчас взялся за другую BookmarkingDemon, на неё у меня есть лицензия. Но в ней есть заблокированные функции-плагины под другие типы лицензий, которые я хочу разблокировать.
На проге стоит протектор Smart Assembly.
Прогнал я её через de4dot и открыл затем в Simple Assembly Explorer и Рефлекторе.
Но возникла проблема с сохранением, Рефлекторе выдало ошибку при сохранении и Simple Assembly Explorer мне выдало ошибку:
-------------------------------
Не удалось привести тип объекта "System.Boolean" к типу "System.String".
в Mono.Cecil.MetadataBuilder.GetConstantSignature(ElementType type, Object value)
в Mono.Cecil.MetadataBuilder.AddConstant(IConstantProvider owner, TypeReference type)
в Mono.Cecil.MetadataBuilder.AddParameter(UInt16 sequence, ParameterDefinition parameter, ParamTable table)
в Mono.Cecil.MetadataBuilder.AddParameters(MethodDefinition method)
в Mono.Cecil.MetadataBuilder.AddMethod(MethodDefinition method)
в Mono.Cecil.MetadataBuilder.AddMethods(TypeDefinition type)
в Mono.Cecil.MetadataBuilder.AddType(TypeDefinition type)
в Mono.Cecil.MetadataBuilder.AddTypeDefs()
в Mono.Cecil.MetadataBuilder.BuildTypes()
в Mono.Cecil.MetadataBuilder.BuildModule()
в Mono.Cecil.ModuleWriter.<BuildMetadata>b__0(MetadataBuilder builder, MetadataReader _)
в Mono.Cecil.ModuleDefinition.Read[TItem,TRet](TItem item, Func`3 read)
в Mono.Cecil.ModuleWriter.BuildMetadata(ModuleDefinition module, MetadataBuilder metadata)
в Mono.Cecil.ModuleWriter.WriteModuleTo(ModuleDefinition module, Stream stream, WriterParameters parameters)
в Mono.Cecil.ModuleDefinition.Write(Stream stream, WriterParameters parameters)
в Mono.Cecil.ModuleDefinition.Write(String fileName, WriterParameters parameters)
в SimpleAssemblyExplorer.frmClassEdit.SaveAssembly()
в SimpleAssemblyExplorer.frmClassEdit.tbSave_Click(Object sender, EventArgs e)
----------------------------------------------


в общем как мне сделать так чтобы пропатченная прога сохранилась?
буду благодарен за любую подсказку.

| Сообщение посчитали полезным:

видно что проблема в библиотеке Mono.Cecil
посему
1) искать другую утилиту что пишет-читает не через нее
2) полная пересборка модуля в VS
3) ildasm/ilasm (надо знать IL-опкодес)
4) иное чего в голову не пришло ........

| Сообщение посчитали полезным:

Тут, кстати, на днях запилили несколько софтин на dnlib

dnEditor - редактор в стиле SAE



--> Link <--

DnlibEditor - плагин для рефлектора



--> Link <--

Взято с board.b-at-s.info

| Сообщение посчитали полезным: 4kusNick, CyberGod, DICI BF

pinch пишет:
буду благодарен за любую подсказку дедот снял защиту? Если да то подправь сборку утилью universal fixer. Это раз.
Если сборка миксед моно не умеет сохранять такие. Ищи sae на dnlibe.Где то проскакивал в инете.Это два.
А лучше всего воспользуйся бинарным патчингом.Пороги для этого есть.Это три.

| Сообщение посчитали полезным:

Medsft пишет:
pinch пишет:буду благодарен за любую подсказку дедот снял защиту? Если да то подправь сборку утилью universal fixer. Это раз.Если сборка миксед моно не умеет сохранять такие. Ищи sae на dnlibe.Где то проскакивал в инете.Это два.А лучше всего воспользуйся бинарным патчингом.Пороги для этого есть.Это три.

Спасибо всем за подсказки. Реально помогла прога GrayWolf. Всё прошло как по маслу. Да и программа классная, правда есть пару неудобных моментов в ней.

| Сообщение посчитали полезным:

Опять я со своими баранами.
Делаю в системе
sn -Vr *,0123456789
0123456789 - pubkey от .dll, которую патчить собираюсь
sn - Vl
проверяю что ПК в исключениях

Дальше беру hiew и патчу один байт метода для правки brtrue.s на br.s. Проверяю ILSpy'ем что патч сделан.
Подменяю сборку и... приложение как-то детектит замену.
hiew использую потому что SAE и ILSpy меняют размер сборки. Хз что они там оптимизируют.


Метод с proxy dll пока не использовал. Судя по логу procmon то единственная подходящая для этого длл cryptsp.dll, но ссылок на нее в проекте не нашел. Тоесть она грузится какой-то зависимостью, наверно.

Добавлено спустя 15 минут
Вобщем, после патча, независимо от включенной в системе опции проверки подписи приложение запускается, сборку подгружает, но как-то детектит что она кривая.

Добавлено спустя 2 часа 16 минут
Забавная штука с cryptsp.dll, version.dll, etc, которые подгружаются при старте софта из его же каталога. Бинари грузятся, но ЕП не вызывается. Просто сразу же выгружаются и идет загрузка системных.

Вобщем, пока я в размышлениях как с этим бороться. Разве что попробовать снести все подписи в проекте.

Добавлено спустя 2 часа 47 минут
Ну все. Оказывается проблема была в патчу один байт метода для правки brtrue.s на br.s.. Почему-то после этого JIT сносило крышу и он бросал исключение типа "Invalid opcode". Спасибо DILE за помощь )))

-----
старый пень

| Сообщение посчитали полезным:

Коллеги, приветствую

Поймал у себя вредонос, захотелось поподробнее исследовать, найти владельца, да и вообще понять принцип действия таких вредоносов.
Это .net exe файл, протект на нем судя по всему Reactor 4.8 или Reactor 4.9(более вероятно)
Первым делом скомпилил de4dot и попробовал подпихнуть это дело ему. Сначала с параметром -d на что получил:

de4dot v3.1.41592.3405 Copyright (C) 2011-2014 de4dot@gmail.com
Latest version and source code: https://github.com/0xd4d/de4dot
Detected .NET Reactor (c:\Work\Application.exe)

Потом с полным листом параметров. К сожалению, все что получил:
Cleaning c:\Work\Application.exe
ERROR:
ERROR:
ERROR:
ERROR: Hmmmm... something didn't work. Try the latest version.

Дальше почитав форумы попробовал запустить в OllyDbg и сдампить экзешник. Увы затея тоже не увенчалась успехом, то ли там стоит антиотладчик, то ли у меня кривые руки. Сдампить правильный экзешник не удалось.

Почитав еще немного решил попробовать Gray Wolf. Он при запуске предложил воспользоваться de4dot-ом, открыл файл, но УВЫ, все функции которые были защищены так и остались защищенными. Прошу подсказать в каком направлении еще можно подумать.

--> http://multi-up.com/1004871 <--

| Сообщение посчитали полезным:

Pess
Ссылка криво у вас вставилась + "Этот файл всё ещё заливается!".
Залилось пока только сюда http://sendfile.su/1032937

И мегадампером пробовали дампить?

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

Pess
как минимум включить макс. уровень трассирования в дедоте и постараться понять на чем валится
дальше возможно вариантов...

| Сообщение посчитали полезным:

Полез поглубже, стал дебажить дедот, нашел, что в процедуре дешифровки ресурсов, выскакивает эксепшн.
Эксепшн этот возникает из-за того что один из ресурсов который дедот расшифровывает неправильно длинны (нацело не делится на 32) и поэтому расшифровать его не получается. Может кто-то сталкивался с таким?

Мегадампером тоже не получается, потому что зловред очень быстро отрабатывает и завершается.

на всякий случай правильная ссылка:

http://sendfile.su/1032937

| Сообщение посчитали полезным:

для этого в дампере есть Break on load чекбокс

| Сообщение посчитали полезным:

Ссылка на .Net ID не работает, перезалейте.
Gray Wolf тоже не актуальна, перезалейте.

| Сообщение посчитали полезным:

ekzorcise пишет:
.Net ID не работает, перезалейте


d9ee_10.11.2014_EXELAB.rU.tgz - DotNet Id 1.0.0.3.zip

| Сообщение посчитали полезным: ekzorcise

TryAga1n спасибо

| Сообщение посчитали полезным:

Announcing Open Source of .NET Core Framework, .NET Core Distribution for Linux/OSX, and Free Visual Studio Community Edition

__https://weblogs.asp.net/scottgu/announcing-open-source-of-net-core-framework-net-core-distribution-for-linux-osx-and-free-visual-studio-community-edition

__https://github.com/dotnet/corefx
__https://github.com/Microsoft/dotnet

| Сообщение посчитали полезным:

Pess
Ничего там дампить не надо. Обычная обфускация норм снимается де4дотом.
Там стим стилер, ворует вещи со стим ака.

-----
zzz

| Сообщение посчитали полезным:

Обновка Рефлектора
http://download.red-gate.com/checkforupdates/ReflectorInstaller/ReflectorInstaller_8.4.0.39.exe
кг тот же

| Сообщение посчитали полезным:

Вот и настал тот день когда вышел обфускатор OpenSource а не кто еще не распаковал
ConfuserEX На туться есть пару туторов и софтин но не чего путного нету
У кого какие мысли по этому поводу ?

| Сообщение посчитали полезным: turissssst

Mishar_Hacker пишет:
У кого какие мысли по этому поводу?
Посмотреть на исходники и накодить деобфускатор, например. Ну, если есть достаточное количество времени конечно.

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным: Mishar_Hacker

Mishar_Hacker пишет:
Вот и настал тот день когда вышел обфускатор OpenSource
А что за обфускатор? можно ссылку?

| Сообщение посчитали полезным:

ekzorcise
--> Link <--

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

знаю что для дампа .net приложений есть большое количество утилит.
я пользовался приложением mega dumper но не всегда исходное приложение получается работоспособным.
слышал об ge-dumper если я не ошибаюсь или что-то подобное. мб у кого-то есть более универсальный дампер?

| Сообщение посчитали полезным:

turissssst
MegaDumper работает лучше аналогов. Если не запускается файл после него (а причины могут быть разные, например, отсутствие нативных DLL, которые MegaDumper не может сдампить либо затирание PE Header или метаданных во время работы приложения), то после других будет не лучше. Руками нужно распаковывать в таких случаях.

| Сообщение посчитали полезным: Mishar_Hacker, turissssst

На хабре новая статья про .Net появилась, можно в шапку добавить.
http://habrahabr.ru/company/luxoft/blog/244095/

Вот в ней ссылка на Free .NET Decompiler and Assembly Browser
https://www.jetbrains.com/decompiler/

| Сообщение посчитали полезным:

плиз скомпилируйте это добро

https://github.com/ViRb3/dnEditor
а то у меня не получается

| Сообщение посчитали полезным: