Со времени создания топика много обсудили, во много м разобрались и много осталось за кадром. Решил подшить выкладываемый софт и линки

Инструменты:

dnSpy - бодрый декомпилятор и отладчик тут беты

Gray Wolf - DE-ObfuScatE / Edit IL(Live) / Add payloads / Edit attributes(public/privet) / Copy strong names signing on EXE/DLL
ReSharper 6.0 Build 2093 Pre-Release - Очень навороченый декомпилер, побробности --> ТУТ <--.
Рег-данные:

Reflector 8.3.3.115 - платный декомпилятор .NET 8.3.0.95 + (дополнение к нему)
Седьмая версия рефлектора - думаю все знают
Сборка Add-in'ов для Reflector - есть много полезных вещей
.Net ID 1.0.0.3 - определение защиты
DNiD by Rue - сигнатурный анализатор
Dotnet IL Editor (DILE)- Opensource дизассемблер и дебаггер
Xenocode Fox Code Analyzer- профайлер и дизассемблер
Reactor Decryptor 1.7 - что то декриптит, но что не понятно(с) zeppe1in
Simple Assembly Explor (SAE) - Assembler, Disassembler, Deobfuscator, IL editor and more...
DotNet Dumper 1.0 - Дампер .net'овских приложений. Подробное описание
Kurapica dotNET Tracer 1.1 - трейсер от известного автора инструментов для .net
ILSpy 1.0.0.481 - Opensource комбайн, на подобие SAE. Подробности тут
dotTrace Performance 4.0.665.4 - Неплохой трейсер для .Net приложений. Умеет делать трейсы не смешивая потоки как KDT. Умеет сравнивать трейсы двух запусков программы
Рег-данные:

Universal Fixer 1.0 - fix dumps after dumping them whit Dotnet Dumper or other similiar tools and will also fix nasty things: multiple assembly/module definitions, wrong extends, etc.
iMPROVE .NET Deobfuscator - деобфускатор


ConfuserDumper
ConfuserDelegateKiller
CodeCrackerTools: ConfuserMethodsDecryptor, ConfuserDelegateKiller, ConfuserStringDecryptor, MegaDumper, etc.

Статьи с хабры:
Защита .NET приложений - Субъективная теоретическая муть с хабры, выдаваемая за обзор обфускаторов(только для фанатов)
Как обмануть NET.Reflector - вот это уже годная статья, в которой рассматривается ручная обфускация в стихах и картинках
Взлом программ для чайников - ну не знаю...прописные истины, но приятно, что все это есть на русском языке и нормально оформлено
Реверс-инжиниринг обфусцированной сборки .NET - один только заголовок чего стоит. По сути статья информативная
Инъекции MSIL кода в стороннюю сборку при помощи Mono.Cecil. Реализация принципов АОП в NET
Избавление .NET программы от регистрации на примере BEM
Снимаем дамп объектов с памяти .Net приложения

Другое:
.NET Reflector v7.0.0.198 (C# Source by wangshy)
[url=http://lifeinhex.com/string-decryption-with-de4dot/]String decryption with de4dot[/url

-

Last edit: 2012-02-17, Links fixed. Jupiter]

| Сообщение посчитали полезным:

4kusNick пишет:
имена методов видны, легко их найти потом в нтивного коде в иде или олли - вот вот это мне и нужно, как найти адреса нативных функций в статике?

| Сообщение посчитали полезным:

Medsft
Я по имени вроде как ориентировался, но вообще декомпиляторы и адреса выводят, вот dnSpy например показывает смещения для нативного метода deleteSelf:
http://i.imgur.com/JRipVfB.png

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным: zds

ок. возьму микро паузу

| Сообщение посчитали полезным:

Medsft
можно также ildasm`ом сделать дамп кода и найти нужную информацию


| Сообщение посчитали полезным:

Друзья, столкнулся с каким то неизвестным шифратором. de4dot ниче не видит, но я на 100 процентов уверен что чем то запаковано все. Прикладываю либу
http://rghost.ru/77DXkyrj7

| Сообщение посчитали полезным:

Radzhab пишет:
Друзья, столкнулся с каким то неизвестным шифратором.
http://rghost.ru/6gCDCFnpr
То что выложил ты это еще не либа а бинарный массив

| Сообщение посчитали полезным:

Medsft пишет:
То что выложил ты это еще не либа а бинарный массив
Это была либа из приложения для Windows Phone

| Сообщение посчитали полезным:

не подскажете, что за протектор (похоже, динамически создаются методы), и в какую сторону копать чтобы расшифровать это всё...
продукт конторы MеtaGееk
http://rghost.ru/7TTWwNRWH
спасибо.
зы: перепробовал все детекторы какие нашел

| Сообщение посчитали полезным:

topmo3 пишет:
продукт конторы MеtaGееk
У них на всех последних продуктах Babel.net
И что там расшифровывать?
ItsLicenseType LicenseResponse тут патч

| Сообщение посчитали полезным: topmo3

да хотел внутри там посмотреть... в чем распаковать можно? de4dot не берет даже если сказать -p bl

| Сообщение посчитали полезным:

Вроде бы Confuser но последний de4dot не берет...

449f_27.12.2015_EXELAB.rU.tgz - DRL_V1.1.dll

| Сообщение посчитали полезным:

jshapen
Попробуй но не уверен что все работает

c116_28.12.2015_EXELAB.rU.tgz - DRL_V1.1_Unp.rar

| Сообщение посчитали полезным: jshapen

Все супер! Как ты это сделал?

| Сообщение посчитали полезным:

Здравствуйте, уважаемые специалисты по обратной инженерии. Прошу помочь в анализе вот этой
по уши мне необходимой библиотеки:
http://www.limilabs.com/mail/thank-you?url=mail%2FMail.zip
Опробовал утилиты из прилагающегося списка утилит в первом посте. Результат отрицательный.
Защита неизвестна. Поиск на yandex.ru и google.ru результатов не дал.
Я надеюсь, что анализ данной библиотеки не составит для вас серьезных препятствий.
Не буду скрывать. Отличительной особенностью данной библиотеки является возможность работы через различные прокси, в том числе и через TOR. Но даю слово джентльмена, что моя программа
используется только во благо.

| Сообщение посчитали полезным:

raiyin тебе скорее в запросы, если без конкретики --> Link <--

| Сообщение посчитали полезным:

raiyin пишет:
Защита неизвестна.
Eazfuscator.NET

| Сообщение посчитали полезным:

Спасибо. Использовал ссылку для запросов на взлом, но она была нерабочая. Решил, что надо сюда.

| Сообщение посчитали полезным:

Друзья, не подскажите чем зашифровано? --> Link <--

Пробовал через de4dot. Говорит что неизвестный обфускатор.

d415_14.01.2016_EXELAB.rU.tgz - Безымянный2.png

Мне бы просто расшифровать строки хватило бы

| Сообщение посчитали полезным:

Radzhab пишет:
Друзья,
Посмотрел, что за пакер не знаю, но.. качай мой ilspector зайдешь в опции включи опцию show hidden name
затем сможешь ходить по методам. Потом смотришь как обрабатываются строки изучаешь dedot командную строку как строки расшифровывать только (не знаешь как спроси здесь на форуме), ilspector все показывает, метод который обрабатывает строки c0016a6.c000002(Int32)

P.S. Используйте правильные инструменты для анализа)

| Сообщение посчитали полезным: Radzhab

Medsft пишет:
качай мой ilspector зайдешь в опции включи опцию show hidden name
Спасибо за ответ) Сразу же вдогонку вопрос. Вот я вижу например методы в Ilspector - а сохранить эти изменения обратно файл. Я в прошлой версии либы тупо взял и убрал методы с помощью Reflexil+Reflector. А здесь все упирается в переименование методов и переменных

| Сообщение посчитали полезным:

SAE -> деобфускатор ->Name only ->Ok - самый простой способ

Добавлено спустя 2 минуты
А что ты убирал там в прошлой версии я смотрю класс Licence вообще не используется... где защита то там?

Добавлено спустя 3 минуты
ILSpector - это инструмент для исследования а не для авто-деобфускации

| Сообщение посчитали полезным:

В принципе ничего и не изменилось с прошлой версии кроме жесткой обфускации) надо занулить этот метод. Плюс искать еще текст - это триальная версия бла бла бла..

6881_14.01.2016_EXELAB.rU.tgz - Безымянный.png

| Сообщение посчитали полезным:

берешь ilspector))) включаешь поиск тип поиска "Find method call" в строку поиска пишем часть вызова внешней API GetExecutingAssembly скажем просто assembly и он тебе отдает в выдачу твой метод c00c34.f000002(string, Assembly).

| Сообщение посчитали полезным:

Вот наткнулся еще один подводный камень. В прошлой версии я также удалял текст
"This document was truncated here because it was created using Aspose.Words in Evaluation Mode." Он его пишет в начало и конец файла. А тут я его не могу найти

| Сообщение посчитали полезным:

Вся проблема в том что ты пытаешься заломать уже заломатую версию))))))
И обфускатором по ней прошлись не разрабы, а те кто ее лечил.

| Сообщение посчитали полезным:

Medsft
последнюю dile нет смысла допиливать, а?
.net не интересует на данный момент, но вспомнил, что с твоими фиксами она шустрее была и т.п. или все включено в новый тулс?

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

По поводу Dile. Раньше я считал что отладчик у Dile лучше, теперь считаю ILSpector`у не хватает только евоного "Object Viewer". Нет желания поработать над данным вопросом? )))

| Сообщение посчитали полезным:

Reflector 9 обновка
http://download.red-gate.com/checkforupdates/ReflectorInstaller/ReflectorInstaller_9.0.1.318.exe

fixlist
http://www.red-gate.com/updatecontrols/details?etc=-1240123341&guid=00000000-0000-0000-0000-000000000000&update=1173

| Сообщение посчитали полезным:

Доброй ночи форумчане) Подскажите плиз чем накрыто --> Link <--

Файл ничем не декодится. Говорит типа это не .net либа, хотя это 100 процентов .net

ps // This file does not contain a managed assembly.

| Сообщение посчитали полезным:

Radzhab
Прикалываетесь? =)

Там просто мусор. Это явно пошифрованный файл. Что-то его сперва расшифровывает, а уже потом исполняет.
Если у вас имеется софтина которая испольузет этот файл - то скорее всего расшифрованную версию вы найдёте в памяти, пробуйте дамперы.
Ну или реверсить ту софтину и смотреть как дешифруется dllка.

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным: Radzhab