Со времени создания топика много обсудили, во много м разобрались и много осталось за кадром. Решил подшить выкладываемый софт и линки

Инструменты:

dnSpy - бодрый декомпилятор и отладчик тут беты

Gray Wolf - DE-ObfuScatE / Edit IL(Live) / Add payloads / Edit attributes(public/privet) / Copy strong names signing on EXE/DLL
ReSharper 6.0 Build 2093 Pre-Release - Очень навороченый декомпилер, побробности --> ТУТ <--.
Рег-данные:

Reflector 8.3.3.115 - платный декомпилятор .NET 8.3.0.95 + (дополнение к нему)
Седьмая версия рефлектора - думаю все знают
Сборка Add-in'ов для Reflector - есть много полезных вещей
.Net ID 1.0.0.3 - определение защиты
DNiD by Rue - сигнатурный анализатор
Dotnet IL Editor (DILE)- Opensource дизассемблер и дебаггер
Xenocode Fox Code Analyzer- профайлер и дизассемблер
Reactor Decryptor 1.7 - что то декриптит, но что не понятно(с) zeppe1in
Simple Assembly Explor (SAE) - Assembler, Disassembler, Deobfuscator, IL editor and more...
DotNet Dumper 1.0 - Дампер .net'овских приложений. Подробное описание
Kurapica dotNET Tracer 1.1 - трейсер от известного автора инструментов для .net
ILSpy 1.0.0.481 - Opensource комбайн, на подобие SAE. Подробности тут
dotTrace Performance 4.0.665.4 - Неплохой трейсер для .Net приложений. Умеет делать трейсы не смешивая потоки как KDT. Умеет сравнивать трейсы двух запусков программы
Рег-данные:

Universal Fixer 1.0 - fix dumps after dumping them whit Dotnet Dumper or other similiar tools and will also fix nasty things: multiple assembly/module definitions, wrong extends, etc.
iMPROVE .NET Deobfuscator - деобфускатор


ConfuserDumper
ConfuserDelegateKiller
CodeCrackerTools: ConfuserMethodsDecryptor, ConfuserDelegateKiller, ConfuserStringDecryptor, MegaDumper, etc.

Статьи с хабры:
Защита .NET приложений - Субъективная теоретическая муть с хабры, выдаваемая за обзор обфускаторов(только для фанатов)
Как обмануть NET.Reflector - вот это уже годная статья, в которой рассматривается ручная обфускация в стихах и картинках
Взлом программ для чайников - ну не знаю...прописные истины, но приятно, что все это есть на русском языке и нормально оформлено
Реверс-инжиниринг обфусцированной сборки .NET - один только заголовок чего стоит. По сути статья информативная
Инъекции MSIL кода в стороннюю сборку при помощи Mono.Cecil. Реализация принципов АОП в NET
Избавление .NET программы от регистрации на примере BEM
Снимаем дамп объектов с памяти .Net приложения

Другое:
.NET Reflector v7.0.0.198 (C# Source by wangshy)
[url=http://lifeinhex.com/string-decryption-with-de4dot/]String decryption with de4dot[/url

-

Last edit: 2012-02-17, Links fixed. Jupiter]

| Сообщение посчитали полезным:

Xlab0s
не работают они, чото там типа декриптит, но по факту ничего не меняется.

-----
SaNX

| Сообщение посчитали полезным:

https://www.sendspace.com/file/kmgesc
с расшифровкой строк только не разобрался до конца через de4dot

| Сообщение посчитали полезным:

Xlab0s
Строки то ладно. Там часть чтоли только анпакнулась.
Полно вызовов типа

т.е. по сути протектор не снят

-----
SaNX

| Сообщение посчитали полезным:

Кто-нибудь уже сталкивался с протом от li0nsar3c00l (Disguiser)?

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

SaNX пишет:
Полно вызовов типа
Code:
// ns0.GClass22
public static bool smethod_1()
{
   bool result;
   try
   {
       result = ((c)<Module>.Invoke(375))();
   }
   catch
   {
       throw;
   }
   return result;
}


Похоже на динамические вызовы ILProtect'a. Попробуйте DynamicTrace [https://forum.tuts4you.com/topic/36998-dynamictrace/] от Coderacker'а и ILProtect Unpacker [https://forum.tuts4you.com/topic/32843-ilprotector-unpacker/] от него же. Правда целиком цель он врядли распакует..

| Сообщение посчитали полезным:

nick8606 пишет:
DynamicTrace
падает с ошибкой.

такс, я туплю. прога запускается только с ярлыка. Как оно определяет, что запустилось с ярлыка? Декриптор не может анпакнуть, потому что прога не запускается тупо. есть типа дебаг какойнить для нет?

В проге много каких то проверок типа
например
if (GClass23.smethod_3() == 1)
{
return;
}


public static byte smethod_3()
{
byte result = 1;
foreach (ProcessModule processModule in Process.GetCurrentProcess().Modules)
{
if (processModule.ModuleName.ToLower() == GClass4.smethod_5("njNjǝǏljǑƘǎǖǖ")) //"base_g.dll"
{
result = 0;
break;
}
}
return result;
}

Таким макаром и определяется чтоли, с ярлыка запуск или нет?

-----
SaNX

| Сообщение посчитали полезным:

SaNX может быть два варианта
1. В ярлыке есть дополнительные параметры
2. В ярлыке указана рабочая папка, не та, где лежит exe файл

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Maximus пишет:
может быть два варианта
и оба не канают )
еще наблюдение: не запускается из тотала. если из проводника запускать - то нормально и без ярлыка. Вопрос, как распаковать?

-----
SaNX

| Сообщение посчитали полезным:

Может проверяется имя родительского процесса - не кодом выше, а внутренними методами

Переименуй тотал/дебуггер в explorer.exe

| Сообщение посчитали полезным:

nick8606 пишет:
Переименуй тотал/дебуггер в explorer.exe
не помогает

-----
SaNX

| Сообщение посчитали полезным:

А это что за проверки? на отладчики?


-----
SaNX

| Сообщение посчитали полезным:

Нужен совет. Есть программа, защищена ILProtector’ом. У производителя присутствует бесплатная версия, в целом ее функционал вполне устраивает, но есть ограничение на одновременный запуск нескольких копий. Предыдущие версии были только платные, и в них я это ограничение успешно отламывал. Но эти самые предыдущие версии доставались мне уже распакованные и со снятой основной защитой. В этой-же версии самостоятельно у меня не получается даже дамп рабочий получить. Мегадампер выдает дамп с битым заголовком и методами, выглядящими как-то так:

что, как я понимаю, означает что толку с такого дампа немного.
Я вижу такие варианты дальнейшей работы:
1.Продолжать попытки избавиться от протектора.
2.Начать рыть в сторону патча памяти, так как интересующий меня метод вряд ли изменился с прошлых версий.
3.Исхитриться написать перехватчик GetProcesses.
А теперь вопрос: какой из этих вариантов лучше/быстрее/проще? Или мне лучше вообще прекратить рожать каменный цветок и идти на поклон в два известные топика этого форума?

| Сообщение посчитали полезным:

BoNi
Там темида/винлиценсе,под ней уже илпротект
Можно сдампить мегадумпером,потом восстановить заголовки вручную или с помощью universalfixer от CodeCrackera
после этого софт запускается и сразу падает,т.к в файле protect32.dll идут проверки на целостность.
Если хотите самостоятельно разобраться с защитой,запакуйте какой нибудь софт ilprotectom"ом,затем ковыряйте его.Также после снятия дампа изучайте protect.dll

| Сообщение посчитали полезным:

igorca
а патч памяти или перехват GetProcesses не проще будет написать?

| Сообщение посчитали полезным:

BoNi .net патчится никак не через перехват GetProcesses
А примерно вот так:
https://exelab.ru/f/action=vthread&forum=1&topic=16650&page=37#25

Правда что-бы патчить, надо еще знать что патчить

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Вопрос знатокам: хочу переписать кусок на С.



есть пароль, для которого необходимо сформировать ключ - phrase, ключевая привязка, используемая для формирования ключане используется (null), в gbKey получаю ключ для шифрования указанной длины.

какие дефолтные параметрамы поставщика служб шифрования (CSP)?
пробовал перебирать функции хеширования, но все дают другую gbKey.

-----
...или ты работаешь хорошо, или ты работаешь много...

| Сообщение посчитали полезным:

@BfoX

Из MSDN:


This class uses an extension of the PBKDF1 algorithm defined in the PKCS#5 v2.0 standard to derive bytes suitable for use as key material from a password. The standard is documented in IETF RRC 2898.


Это PBKDF1 под соусом MS, подробнее тут.

| Сообщение посчитали полезным: BfoX

Maximus
там проверка наличия второй копии идет через GetProcesses
и если код проверки не изменился - я знаю il код этой проверки, надо только смещение найти

| Сообщение посчитали полезным:

arnix

спасибо, портировал на С

-----
...или ты работаешь хорошо, или ты работаешь много...

| Сообщение посчитали полезным:

Alinator3500 пишет:
2) Используем Roslyn для конверсии C# в C++ https://channel9.msdn.com/Events/DevCon/Russia-2015/Use-Roslyn-conversion-in-C--C-
Этописец, простите мой хранцузский.
Сначала было смешно, а потом стало грустно. Всеж нет ничего удивительного в том, что падают спутники ... каков поп, таков и приход (какие "программисты", такие и программы)

| Сообщение посчитали полезным:

--> DotNet Patcher 4 <--
--> dnSpy 1.1.1.1 <--

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным: 4kusNick

dotnetProtector v5.5 (pvlog)
ищу tutorial по распаковке, может у кого есть?

| Сообщение посчитали полезным:

Natik
А можно ссылку на софт,защищённый этим протектором?

| Сообщение посчитали полезным:

в ПМ сбросил
я страндарно, снял дамп, прикрутил модуль embedded.netmodule, подправил флаги файла и ep .net
но что интересно: во всех методах только throw new ApplicationException()
загнал в de4dot. Ничего не изменилось. Наверно dnlib надо править

| Сообщение посчитали полезным:

awlost пишет:
Alinator3500 пишет:
2) Используем Roslyn для конверсии C# в C++ https://channel9.msdn.com/Events/DevCon/Russia-2015/Use-Roslyn-conversion-in-C--C-
Этописец, простите мой хранцузский.
Сначала было смешно, а потом стало грустно. Всеж нет ничего удивительного в том, что падают спутники ... каков поп, таков и приход (какие "программисты", такие и программы)

А что не так? Вы программист на C++ и вас расстроило качество автоматически сгенерированного кода версии бета 0.0.8?

| Сообщение посчитали полезным:

подскажите можно как-то получить IsolatedStorageFile чужого приложения?

| Сообщение посчитали полезным:

Господа помогите пожалуйста, сам искал и по форуму и в нете, ни чего подходящего не нашел. Нужен отладчик net приложений. Есть il код добытый с помощью ildasm, так вот как можно его запустить под отладку при этом поставив останов в нужном месте? Читал что есть инструкция break, ставлю ее, запускаю ilasm все нормально собирается а при запуске приложения оно падает. Задача: посмотреть что присваивается переменной после выполнения метода. Возможно ли il запустить на выполнение в студии?

| Сообщение посчитали полезным:

Отладка есть в ILSpy.Next и в dnSpy.

-----
старый пень

| Сообщение посчитали полезным:

FreeEagle
Есть Reflector, есть плагины для него.
Есть на github проект для отладки дотнет-приложений.
Для любителей кучи цифр и букв есть вариант WinDbg + уже забыл, какой плагин для него.

Есть --> Medsft' blog <-- с ILSpy. Но автор куда-то пропал на 2,5 месяца...

Ищите и обрящете!

-----
IZ.RU

| Сообщение посчитали полезным:

Ребята , скомпилируйте пожалуйста !
https://github.com/ViRb3/dnEditor
Если есть у кого нибудь , залейте сюда )
Буду очень благодарен

| Сообщение посчитали полезным: