Со времени создания топика много обсудили, во много м разобрались и много осталось за кадром. Решил подшить выкладываемый софт и линки

Инструменты:

dnSpy - бодрый декомпилятор и отладчик тут беты

Gray Wolf - DE-ObfuScatE / Edit IL(Live) / Add payloads / Edit attributes(public/privet) / Copy strong names signing on EXE/DLL
ReSharper 6.0 Build 2093 Pre-Release - Очень навороченый декомпилер, побробности --> ТУТ <--.
Рег-данные:

Reflector 8.3.3.115 - платный декомпилятор .NET 8.3.0.95 + (дополнение к нему)
Седьмая версия рефлектора - думаю все знают
Сборка Add-in'ов для Reflector - есть много полезных вещей
.Net ID 1.0.0.3 - определение защиты
DNiD by Rue - сигнатурный анализатор
Dotnet IL Editor (DILE)- Opensource дизассемблер и дебаггер
Xenocode Fox Code Analyzer- профайлер и дизассемблер
Reactor Decryptor 1.7 - что то декриптит, но что не понятно(с) zeppe1in
Simple Assembly Explor (SAE) - Assembler, Disassembler, Deobfuscator, IL editor and more...
DotNet Dumper 1.0 - Дампер .net'овских приложений. Подробное описание
Kurapica dotNET Tracer 1.1 - трейсер от известного автора инструментов для .net
ILSpy 1.0.0.481 - Opensource комбайн, на подобие SAE. Подробности тут
dotTrace Performance 4.0.665.4 - Неплохой трейсер для .Net приложений. Умеет делать трейсы не смешивая потоки как KDT. Умеет сравнивать трейсы двух запусков программы
Рег-данные:

Universal Fixer 1.0 - fix dumps after dumping them whit Dotnet Dumper or other similiar tools and will also fix nasty things: multiple assembly/module definitions, wrong extends, etc.
iMPROVE .NET Deobfuscator - деобфускатор


ConfuserDumper
ConfuserDelegateKiller
CodeCrackerTools: ConfuserMethodsDecryptor, ConfuserDelegateKiller, ConfuserStringDecryptor, MegaDumper, etc.

Статьи с хабры:
Защита .NET приложений - Субъективная теоретическая муть с хабры, выдаваемая за обзор обфускаторов(только для фанатов)
Как обмануть NET.Reflector - вот это уже годная статья, в которой рассматривается ручная обфускация в стихах и картинках
Взлом программ для чайников - ну не знаю...прописные истины, но приятно, что все это есть на русском языке и нормально оформлено
Реверс-инжиниринг обфусцированной сборки .NET - один только заголовок чего стоит. По сути статья информативная
Инъекции MSIL кода в стороннюю сборку при помощи Mono.Cecil. Реализация принципов АОП в NET
Избавление .NET программы от регистрации на примере BEM
Снимаем дамп объектов с памяти .Net приложения

Другое:
.NET Reflector v7.0.0.198 (C# Source by wangshy)
[url=http://lifeinhex.com/string-decryption-with-de4dot/]String decryption with de4dot[/url

-

Last edit: 2012-02-17, Links fixed. Jupiter]

| Сообщение посчитали полезным:

практически ничего, в принципе, если есть исходники плагина, то можно пересобрать под актуальную

| Сообщение посчитали полезным:

CodeSearch вроде работает в последней, хоть и написан для 5.0

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

А что вот делать с такой хренатенью?

картинго

поверх вроде .net reactor 4+

| Сообщение посчитали полезным:

inf1kek пишет:
А что вот делать с такой хренатенью?
Может и МексКод
rghost.ru/4281487
Так Посмотри !

| Сообщение посчитали полезным:

inf1kek
для начала надо получить .NET сборку проги

| Сообщение посчитали полезным:

Reflector 7 beta3

что нового
.NET Reflector 7 Beta 3 is now available. This build is feature complete and contains numerous enhancements to decompilation and .NET 4 support, along with tabbed decompilation, and PowerCommands integration. This beta fixes an exception that occurred when Reflector was closed due to an expected folder not being created.

Внимание! ета версия требует активации
время на поиграццо - 14 дней

| Сообщение посчитали полезным:

Пара вопросов:
Может кто подскажет (сам пока не нашел) где в метаданных прописывается список сборок для аттрибута InternalsVisibleToAttribute? И можно ли, оставив InternalsVisibleToAttribute рабочим для дружественной сборки, убрать зависимость от publickey, т.е. сделать сборку дружественной только по имени (в случае если у дружественной сборки нет publickey).

| Сообщение посчитали полезным:

Отвечу сам себе
1. table CustomAttribute
2. от паблик ключа можно отвязать забиванием его нулями в блобе с правкой размера аттрибута

| Сообщение посчитали полезным:

На подходе ReShaper 6
blogs.jetbrains.com/dotnet/2011/02/resharper-6-bundles-decompiler-free-standalone-tool-to-follow/

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным: s0l

Нужен .Net отладчик
есть приложение, основной запускаемый файл - нативный, в процессе запуска выполняется куча длл - нативных, .Net и Mixed сборок
программа падает на одном методе Mixed сборки
хочется посмотреть это дело в отладке
чем лучше дебажить такой случай?
Dile я не смог туда прикрутить
В принципе идеальным вариантом был бы отладчик Visual Studio, только не понимаю пока как запустить отладку и остановиться именно на нужном мне методе. Может есть какие-то примочки для студии?

| Сообщение посчитали полезным:

Tyrus, можно попробовать вот это для отладки
www.smidgeonsoft.prohosting.com/pebrowse-pro-interactive-debugger.html

| Сообщение посчитали полезным:

Av0id
Спасибо, но это помоему не подходит.

Проблема такая:
Убил во всех файлах сборки StrongName
Загрузка идет полным ходом до появления такого экспешена:



Падение происходит в этой функции из-за отсутствия строгого имени:





Что нужно поправить чтобы не ругалось на отсутствие строгого имени?

| Сообщение посчитали полезным:

Tyrus пишет:
 if (name2 == null)    {        throw new ArgumentException("Evidence has no strong name key");    }

эксепшин эдесь.

| Сообщение посчитали полезным:

Если убрать (занопить) проверку на null,

if (name2 == null)
{
throw new ArgumentException("Evidence has no strong name key");
}

тогда будет падать дальше, вот здесь

this.a.RemoveType(name2.GetType());
this.a.AddHost(new StrongName(name2.PublicKey, this.a, name2.Version));

Тут, видимо, надо разобраться что делает a.RemoveType() и a.AddHost()
тоесть можно ли их тоже проскочить. Если нельзя - надо сделать какой нибудь свой фейковый name2
(в САЕ или любом другом инструменте что умеет править IL код)

| Сообщение посчитали полезным:

Убираем эксепшен - упадет дальше, как и сказал sendersu, т.к. в AddHost добавляется политика
безопасности строго имени который тут null, предыдущая команда (RemoveType) убивает в политеке
безопасности существующую привязанность к строгому имени (освобождает ее). В принципе было бы
логично убить экспепшен и убить AddHost, но все равно где-то падает.
Я хочу попробовать в начале функции подменить assemblyName на имя какого-нибудь левого файла, но
имеющего валидное строгое имя, а в конце убрать AddHost, таким образом весь код до конца выполнится
как и было задумано, но в политику безопастности не будет добавлено строгое имя. SAE IL код
действительно нормально редактирует при помощи Mono.Cecil

| Сообщение посчитали полезным:

а что мешает подписать сборку своим строгим именем ?

| Сообщение посчитали полезным:

NIKOLA
Мешает то, что у меня файлов там 400 сотни и все они между собой связаны референсами со строгим именем + через InternalsVisibleToAttribute с паблик ключом строгого имени. И прежде чем наложить на них свой стронг нэйм я должен буду еще и пропатчить все связки. Вот этот Evidence не могу пока победить. Вроде понял как правильно пройти эту функцию для моих файлов - использовал Evidence.Clear(), но вот теперь надо вводить условие, т.к. через нее еще проходят и системные файлы и соответственно Clear() убивает и их зависимости и дальше все падает.
Кстати Dile примостился аттачить - хоть этим можно дебажить, но такой неудобный..

Вот инфа про Evidence:
msdn.microsoft.com/ru-ru/library/system.security.policy.evidence.aspx

| Сообщение посчитали полезным:

Победил таки. Все оказалось элементарно.
if (evidence != null)
{
this.a = evidence;
name2 = AppDomainRemoteObjectFactory<T>.a(evidence);
}
else
{
goto ret;
}
т.е. если идет сборка с Evidence и строгим именем - все идет по оригинальному коду
а если с null, то вообще не лезем в назначения свойств политик безопастности, а просто выходим
и загрузка пошла!

| Сообщение посчитали полезным:

Где можно почитать про автоматическое восстановление шифрованных строк?
Написал декодер шифрованных методов прота, все расшифрованные методы сохраняются в новую
секцию, но для полной победы над протом осталось побороть обфускацию и шифрование строк - для
автоматизации, т.к. с SAE руками можно сделать все, но хочется именно автомат.
Может есть где-то сорцы какого-нибудь деобфускатора, который может восстанавливать строки?

Пока вижу только такой способ:
1. Изучить как работает метод 349452901.349452936.93650356 по восстановлению строк
2. Пройтись им по шифрованным строкам в блобе "US"
3. Занопить вызовы 349452901.349452936.93650356

| Сообщение посчитали полезным:

Tyrus пишет:
Может есть где-то сорцы какого-нибудь деобфускатора, который может восстанавливать строки?
САЕ идет с плагином 9Ray - если помедитировать чуток то можно под себя сделать для етого случая
там правда есть нюанс - как правило етот декодер строк проверяет как его метод запустили.....
если ето пропатчить - все должно заработать

| Сообщение посчитали полезным:

sendersu
Спасибо.
А тут похоже лежать сорцы этого плагина:
code.google.com/p/simple-assembly-explorer/source/browse/trunk/SAE.Deobf9RayHelper/?r=412

| Сообщение посчитали полезным:

Сам сае тоже опенсурс. Он ищет методы которые возвращают стринг и если может то вызывает их, и заменяет вызов на строку. соответственно иногда деобфусцирует методы которые не должен.
тебе нужно только определить нужный метод, а потом из сырков сае соберёш деобфускатор.

-----
zzz

| Сообщение посчитали полезным:

У кого-нибудь есть опыт взлома программ, защищенных MaxToCode -ом?

| Сообщение посчитали полезным:

verissimo, а что за прога им защищена? Не ЗенноПостер случаем

| Сообщение посчитали полезным:

zeppe1in пишет:
тебе нужно только определить нужный метод
ет точно, только определение ето кхммм чуть наугад. В код можно напихать 1000 и одну функу с такой сигнатурой
Для 100% лучше найти самому у указать плагину как токенID например.

| Сообщение посчитали полезным:

sendersu
А можно и на каждую строку сделать свой метод).
один пакостный обфускатор, не помню какой. наделал целую кучу методов для декодирования стрингов, код вроде один и тот же, а методов много) в ручную каждый указывать не вариант и я именно по сигнатуре искал. точнее я смотрел чтобы метод подходил по входным и выходным параметрам, а потом искал в нём вызов ГетПабликКей.

-----
zzz

| Сообщение посчитали полезным:

Подскажите .Net пакер, который может жать Mixed .Net Dll-ки
Именно жать, а не обфусцировать и защищать.

| Сообщение посчитали полезным:

Можешь попробовать mpress. Токо на него ругаются антивирусы...
Можно енигмой, но там еще вопрос - упакуется оно или раздуется... )

Пардон-с - mpress дллки не жмет...

madebits.com/netz/index.php

| Сообщение посчитали полезным:

DotNet Dumper 1.0

-will show only .NET processes under list,
-all dumps will be saved under dumps
- now can fix raw size/address (Themida targets)
- now will fix AddressofEntryPoint
- now dumps more assemblies
- Dump native - dump native not only .NET
- Smart Dump - dump sections page by page
- Now you can dump a specific module
- Bugs fixed
- Rename of dumped files improved!

new:
- ability suspend/resume/kill processes
- view Environment Variables,
- abilty to Inject / Free a dll (under Selected process->Module)
this one needs some bug check - don't know if is working on Vista / Windows 7


--> DOWNLOad<--

| Сообщение посчитали полезным:

Тогда вот еще в коллекцию...

****************************

dotNET Tracer -

This is the final version, it was supposed to stay private but I

decided to release it for the advantage of the RCE community.

this tool works best in Windows 7 but also works with XP-SP2

follow this topic if you face any problem on Windows 7

board.b-at-s.info/showtopic=6921

Download from here :

www.4shared.com/file/tSj6cvgj/KDT.html

****************************

ILSpy -

ILSpy is the open-source .NET assembly browser and decompiler.

Development started after Red Gate announced that the free version of .NET Reflector would cease to exist by end of February 2011.

ILSpy Features:
•Assembly browsing
•IL Disassembly
•Decompilation to C#
•Saving of resources
•Search for types/methods/properties (substring)
•Hyperlink-based type/method/property navigation
•Base/Derived types navigation
•Navigation history
•BAML to XAML decompiler
•Save Assembly as C# Project

wiki.sharpdevelop.net/ilspy.ashx

| Сообщение посчитали полезным: