Сейчас на форуме: -Sanchez- (+7 невидимых)

 eXeL@B —› Основной форум —› Взлом dotNET программ
<< 1 ... 36 . 37 . 38 . 39 . 40 . 41 . 42 . 43 . 44 . 45 . 46 ... 49 . 50 . >>
Посл.ответ Сообщение

Ранг: 60.6 (постоянный), 20thx
Активность: 0.070
Статус: Участник

 Создано: 30 августа 2010 22:59 · Поправил: s0l
· Личное сообщение · #1

Со времени создания топика много обсудили, во много м разобрались и много осталось за кадром. Решил подшить выкладываемый софт и линки

Инструменты:

dnSpy - бодрый декомпилятор и отладчик тут беты

Gray Wolf - DE-ObfuScatE / Edit IL(Live) / Add payloads / Edit attributes(public/privet) / Copy strong names signing on EXE/DLL
ReSharper 6.0 Build 2093 Pre-Release - Очень навороченый декомпилер, побробности --> ТУТ <--.
Рег-данные:
Code:
  1. User Name: ReSharper EAP User
  2. License Key: 0-A60kqsqDMPkvPrLC3bz1/jmns4/DAUV6
  3. which is valid until 31 March 2010

Reflector 8.3.3.115 - платный декомпилятор .NET 8.3.0.95 + (дополнение к нему)
Седьмая версия рефлектора - думаю все знают
Сборка Add-in'ов для Reflector - есть много полезных вещей
.Net ID 1.0.0.3 - определение защиты
DNiD by Rue - сигнатурный анализатор
Dotnet IL Editor (DILE)- Opensource дизассемблер и дебаггер
Xenocode Fox Code Analyzer- профайлер и дизассемблер
Reactor Decryptor 1.7 - что то декриптит, но что не понятно(с) zeppe1in
Simple Assembly Explor (SAE) - Assembler, Disassembler, Deobfuscator, IL editor and more...
DotNet Dumper 1.0 - Дампер .net'овских приложений. Подробное описание
Kurapica dotNET Tracer 1.1 - трейсер от известного автора инструментов для .net
ILSpy 1.0.0.481 - Opensource комбайн, на подобие SAE. Подробности тут
dotTrace Performance 4.0.665.4 - Неплохой трейсер для .Net приложений. Умеет делать трейсы не смешивая потоки как KDT. Умеет сравнивать трейсы двух запусков программы
Рег-данные:
Code:
  1. Name: exelab
  2. Serial: OLgDSHG0hJghkLdXYJh1IjM3ytMrqKcn

Universal Fixer 1.0 - fix dumps after dumping them whit Dotnet Dumper or other similiar tools and will also fix nasty things: multiple assembly/module definitions, wrong extends, etc.
iMPROVE .NET Deobfuscator - деобфускатор


ConfuserDumper
ConfuserDelegateKiller
CodeCrackerTools: ConfuserMethodsDecryptor, ConfuserDelegateKiller, ConfuserStringDecryptor, MegaDumper, etc.

Статьи с хабры:
Защита .NET приложений - Субъективная теоретическая муть с хабры, выдаваемая за обзор обфускаторов(только для фанатов)
Как обмануть NET.Reflector - вот это уже годная статья, в которой рассматривается ручная обфускация в стихах и картинках
Взлом программ для чайников - ну не знаю...прописные истины, но приятно, что все это есть на русском языке и нормально оформлено
Реверс-инжиниринг обфусцированной сборки .NET - один только заголовок чего стоит. По сути статья информативная
Инъекции MSIL кода в стороннюю сборку при помощи Mono.Cecil. Реализация принципов АОП в NET
Избавление .NET программы от регистрации на примере BEM
Снимаем дамп объектов с памяти .Net приложения

Другое:
.NET Reflector v7.0.0.198 (C# Source by wangshy)
[url=http://lifeinhex.com/string-decryption-with-de4dot/]String decryption with de4dot[/url

-

Last edit: 2012-02-17, Links fixed. Jupiter]



Ранг: 6.0 (гость)
Активность: 0=0
Статус: Участник

 Создано: 20 января 2016 17:00
· Личное сообщение · #2

Всем привет. Бьюсь уже неделю над деобфукацией файла. При помощи de4dot удалось частично деобфусцировать файл. Но большинство классов всеравно не читаемы.

Пробовал различные версии de4dot, все выдают одинаковый результат.

Предположительно обфускация выболнена обычным Конфузером, но я не уверен.

Сам файл тут:
https://drive.google.com/file/d/0B4RdvybmmiBldDUyb3IxS0haUnc

Помогите пожалуйста, очень хочу посмотреть исходники.
Буду рад любой информации, хотябы версии обфускатора. Спасибо!



Ранг: 11.4 (новичок), 29thx
Активность: 0.010
Статус: Участник

 Создано: 23 января 2016 15:49 · Поправил: Natik
· Личное сообщение · #3

splinger
ConfuserEx 0.6.0
UnConfuserEx by Shadow прекрастно с ним справляется.
Дальше утилитами от CodeCracker (stringdecryptor, switchkiller и т.д.)
Ну и в конце De4Dot

| Сообщение посчитали полезным: splinger

Ранг: 88.2 (постоянный), 58thx
Активность: 0.110.04
Статус: Участник

 Создано: 24 января 2016 07:17
· Личное сообщение · #4

splinger
--> Link <--

| Сообщение посчитали полезным: splinger

Ранг: 11.4 (новичок), 29thx
Активность: 0.010
Статус: Участник

 Создано: 24 января 2016 10:48
· Личное сообщение · #5

Mishar_Hacker
у тебя много методов побитытых после распаковки, например: GForm5_Load, Button_3_click, method_7, method_8 и т.д.



Ранг: 6.0 (гость)
Активность: 0=0
Статус: Участник

 Создано: 24 января 2016 17:37
· Личное сообщение · #6

Mishar_Hacker

Надеялся на чудо но его не произошло
De4Dot дает похожий резцльтат, большинство классов нечитаемы.

Natik
А как ты определил версию конфузера, можно по-подробнее?
Попробую заюзать UnConfuserEx by Shadow, если найду О результатах отпишусь.

Добавлено спустя 15 часов 10 минут
Прогнал файл через UnConfuserEx by Shadow. Из более чем 1000 классов 18 не деобфусровались. Пытался найти участки кода которые мне нужны, не знаю совпадение или нет, но необходимый кусок не расшифровался.

Буду рыть дальше, если у кого-то появятся еще идеи, пожалуйста поделитесь

Спасибо.



Ранг: 6.0 (гость)
Активность: 0=0
Статус: Участник

 Создано: 25 января 2016 16:53
· Личное сообщение · #7

Вместо рефлектора воспользовался последним docPeek, он вроде бы как открывает все файлы.
Теперь у меня следующая проблема. Все строковые переменные и прочее закодированы. В рантайме они декодируется вызовом методов класса Module который я приложил. в нем 18к строк и он запутанными тропками правдами неправдами как-то дешифрует строки. Кто-нибудь сталкивался с таким файлом, возможно есть известные методы борьбы с ним?

--> Module.cs <--



Ранг: 7.1 (гость), 3thx
Активность: 0=0
Статус: Участник

 Создано: 26 января 2016 00:27 · Поправил: lolo133
· Личное сообщение · #8

splinger
Как тебе написали выше, порядок действий такой:
1) UnConfuserEx - распаковка
2) stringdecryptor - декриптовка строк
3) switchkiller - деобфускация защиты Control Follow (это то, что Вы называете кривыми тропками)
4) Dedot (лучше брать пофикшенный v3.1.41592.3405 by IvancitoOz) это уже моё имхо.

мой вариант на скорую руку (минус 8 методов):
--> Link <--

PS:
Юзайте dnSpy в качестве дебага, реверсаи сохранения сорцов. В этом случае, счастья у Вас прибавится, а количество потраченных на реверс часов, убавится.

| Сообщение посчитали полезным: splinger

Ранг: 330.4 (мудрец), 334thx
Активность: 0.160.17
Статус: Участник
ILSpector Team

 Создано: 26 января 2016 10:30
· Личное сообщение · #9

lolo133 пишет:
switchkiller ссылку если можно



Ранг: 7.1 (гость), 3thx
Активность: 0=0
Статус: Участник

 Создано: 26 января 2016 11:28 · Поправил: lolo133
· Личное сообщение · #10

Можно
--> ConfuserEx Collection <--

Учтите только, что практически все антивирусники, подозревают данный софт в троянстве. Если что, положил в архив сорцы от switchkiller'а

| Сообщение посчитали полезным: denis765600

Ранг: 6.0 (гость)
Активность: 0=0
Статус: Участник

 Создано: 26 января 2016 19:23
· Личное сообщение · #11

lolo133 пишет:
мой вариант на скорую руку (минус 8 методов):

Спасибо за наводку, я также уже самостоятельно провел эти манипуляции и получил аналогичный результат, не успел отписаться

У меня появилось новое затруднение.
Предлогаю рассмотреть его на примере приведенного тобой файла.
Если рассмотреть класс GClass17 в нем используется подкласс Class151:

Code:
  1. public override string GClass16\u002E(int bool_0)
  2.   {
  3.     <b>GClass17.Class151 class151 = new GClass17.Class151();</b>
  4.     <b>class151.int_0</b> = bool_0;
  5.     string str = GClass17.smethod_3(new object[7]
  6.     {
  7.       (object) GClass17.smethod_2(GClass17.smethod_0('\t', <b>class151.int_0</b>), this.string_0, GClass17.smethod_1()),
  8.       (object) GClass17.smethod_0('\t',<b> class151.int_0</b>),
  9.       (object) "Sucess: ",
  10.       (object) this.Boolean_0.ToString(),
  11.       (object) "| Duration: ",
  12.       (object) (this.DateTime_1 - this.DateTime_0),
  13.       (object) GClass17.smethod_1()
  14.     });
  15.     return Enumerable.Aggregate<GClass16, string>((IEnumerable<GClass16>) this.list_1, GClass17.smethod_5(str, GClass17.smethod_4((object) GClass17.smethod_0('\t', <b>class151.int_0</b>), (object) this.List_0) != null ? Enumerable.Aggregate<GClass10, string>((IEnumerable<GClass10>) this.List_0, str, new Func<string, GClass10, string>(<b>class151.method_0</b>)) : string.Empty), new Func<string, GClass16, string>(<b>class151.method_1</b>));
  16.   }


При этом объявления самого класса Class151 внутри GClass17 отсутствует.
Если же мы обратился к оргинальному файлу, при его открытии в dnSpy мне удалось найти этот класс и в нем есть объявление этого класса:

Code:
  1.  
  2.          [CompilerGenerated]
  3.          private sealed class \u206D\u206C\u200F\u206A\u200B\u202C\u200E\u200C\u202D\u202E\u206A\u206E\u206D\u200F\u202B\u202B\u200D\u200C\u206C\u206F\u202C\u206B\u200B\u202B\u206B\u202E\u206D\u200E\u202B\u206E\u206F\u200E\u200C\u206E\u200C\u206C\u200B\u200F\u206E\u200D\u202E
  4.          {
  5.                  // Token: 0x06000792 RID: 1938 RVA: 0x0001AD6C File Offset: 0x0001916C
  6.                  public \u206D\u206C\u200F\u206A\u200B\u202C\u200E\u200C\u202D\u202E\u206A\u206E\u206D\u200F\u202B\u202B\u200D\u200C\u206C\u206F\u202C\u206B\u200B\u202B\u206B\u202E\u206D\u200E\u202B\u206E\u206F\u200E\u200C\u206E\u200C\u206C\u200B\u200F\u206E\u200D\u202E()
  7.                  {
  8.                         /*
  9.                         An exception occurred when decompiling this method (06000792)
  10.                         ICSharpCode.Decompiler.DecompilerException: Error decompiling System.Void /::.ctor()
  11.                         */;
  12.                  }
  13.  
  14.                  // Token: 0x06000793 RID: 1939 RVA: 0x0004260C File Offset: 0x00040A0C
  15.                  internal string \u200B\u200F\u200F\u206E\u200C\u206A\u206D\u206B\u200B\u206D\u206D\u206E\u200E\u202E\u202B\u202D\u206A\u206A\u200F\u206C\u206F\u206F\u206C\u206D\u206F\u200C\u206E\u202D\u206F\u206E\u202A\u200E\u206C\u206F\u200F\u206B\u206B\u206A\u200E\u206C\u202E(string, \u200F\u200E\u200F\u200C\u200D\u202E\u200E\u206B\u200C\u200D\u206C\u206D\u200D\u200F\u200C\u202C\u206F\u202D\u206B\u206C\u200E\u202A\u206F\u200E\u206B\u202B\u202A\u206A\u200B\u206E\u206E\u200B\u206D\u206E\u206B\u206E\u206F\u206F\u202A\u206C\u202E)
  16.                  {
  17.                         /*
  18.                         An exception occurred when decompiling this method (06000793)
  19.                         ICSharpCode.Decompiler.DecompilerException: Error decompiling System.String /::(System.String,)
  20.                         */;
  21.                  }
  22.  
  23.                  // Token: 0x06000794 RID: 1940 RVA: 0x000D08D8 File Offset: 0x000CDCD8
  24.                  static string \u206E\u200F\u206D\u206C\u202D\u200C\u200B\u206A\u202B\u202D\u200E\u206D\u200C\u202A\u202D\u200E\u206E\u200E\u206D\u200B\u200D\u206D\u200C\u200D\u202E\u206B\u200D\u200D\u202A\u200C\u202C\u206D\u200D\u202C\u202E\u200E\u200B\u202A\u200C\u206D\u202E(object arg, object arg2)
  25.                  {
  26.                         return arg + arg2;
  27.                  }
  28.  
  29.                  // Token: 0x04000337 RID: 823
  30.                  public int \u206C\u202C\u206C\u200D\u206F\u200F\u200C\u202C\u202E\u202E\u200F\u200C\u206A\u200D\u206F\u200B\u200F\u206B\u206A\u202D\u200D\u206E\u206D\u200D\u206D\u200F\u206F\u202D\u200E\u206A\u202B\u200E\u206F\u200F\u200C\u206C\u202D\u202C\u206F\u206E\u202E;
  31.          }


При этом нормально читаемым его, конечно, тоже нельзя назвать.
Я предполагаю что такая фигня происходит всегда когда в коде выполняются операции со списками с использованием символа =>

Эти отствующие классы удаляются из файла на самом первом этапе после применения UnConfuserEx. Есть идеи как побеждать?



Ранг: 6.2 (гость), 1thx
Активность: 0.010
Статус: Участник

 Создано: 27 января 2016 02:32
· Личное сообщение · #12

Прошу помощи, господа!

Есть ConfuserEx версии 0.6.0. Распаковал руками, через de4dot прогнал. Не получается расшифровать строки и некоторые функции.

Нашёл 10 функций расшифровки строк, отличаются только константами в вычислениях. Используются в программе в случайном порядке. Так же есть несколько функций для расшифровки кода функций. Существующие StringDecrypter'ы с такой штукой не справляются. de4dot с ключами --strtok сваливается - ругается, что сигнатура функций изменена (возвращаемый тип - не string, а генерик).

Как с этим бороться?

Исходный файл: http://rghost.ru/6QCl2CXBV

p.s.> Кстати, после распаковки (хоть вручную, хоть через UnconfuserEx) и исправления адреса EntryPoint - программка не запускается. Что и где ещё надо поправить, чтобы распакованный экзешник запустился?



Ранг: 7.1 (гость), 3thx
Активность: 0=0
Статус: Участник

 Создано: 27 января 2016 04:37 · Поправил: lolo133
· Личное сообщение · #13

splinger пишет:
При этом объявления самого класса Class151 внутри GClass17 отсутствует.

Посмотрел в 3х прогах (dnSpy,SAE,Reflector) везде всё есть. Либо вопрос некорректен, либо у тебя реверсионный софт малость кривоват

Code:
  1. using System;
  2. using System.Runtime.CompilerServices;
  3.  
  4. // Token: 0x020000BF RID: 191
  5. [CompilerGenerated]
  6. private sealed class Class151
  7. {
  8.          // Token: 0x06000784 RID: 1924 RVA: 0x0002F534 File Offset: 0x0002D734
  9.          internal string method_0(string string_0, GClass10 gclass10_0)
  10.          {
  11.                  return GClass17.Class151.smethod_0(string_0, gclass10_0.method_5(this.int_0));
  12.          }
  13.  
  14.          // Token: 0x06000785 RID: 1925 RVA: 0x0002F554 File Offset: 0x0002D754
  15.          internal string method_1(string string_0, GClass16 gclass16_0)
  16.          {
  17.                  return GClass17.Class151.smethod_1(string_0, gclass16_0.GClass16.\u202E\u200C\u200E\u202A\u202D\u202E\u200D\u200B\u202D\u200F\u206C\u206C\u206A\u200F\u200C\u200C\u200D\u206B\u202C\u206F\u206C\u206D\u202A\u202B\u202B\u200E\u206F\u200F\u206F\u202C\u206E\u200F\u206E\u206F\u202A\u202C\u202B\u206E\u200D\u200F\u202E(this.int_0 + 1));
  18.          }
  19.  
  20.          // Token: 0x06000786 RID: 1926 RVA: 0x00018C5C File Offset: 0x00016E5C
  21.          static string smethod_0(object object_0, object object_1)
  22.          {
  23.                  return object_0 + object_1;
  24.          }
  25.  
  26.          // Token: 0x06000787 RID: 1927 RVA: 0x0000EBD0 File Offset: 0x0000CDD0
  27.          static string smethod_1(string string_0, string string_1)
  28.          {
  29.                  return string_0 + string_1;
  30.          }
  31.  
  32.          // Token: 0x04000336 RID: 822
  33.          public int int_0;
  34. }


PS:
Сделал исходники - там тоже всё есть
--> rb-src <--

| Сообщение посчитали полезным: splinger

Ранг: 6.2 (гость), 1thx
Активность: 0.010
Статус: Участник

 Создано: 27 января 2016 05:38 · Поправил: lz
· Личное сообщение · #14

Сам не понимаю как, но со строками я справился (ConfuserExStringDecryptor смог!).
А вот как быть с зашифрованными вызовами функций (Reference proxies), с которыми связана куча "делегатов"?

Добавлено спустя 1 час 16 минут
Зацените архивчик утилиток от CodeCracker'a, в этой ветке таких ещё не было: http://rghost.ru/7WkLqKv5l

Кто-нибудь может объяснить их назначение и порядок использования?

Code:
  1. ConfuserExCfgKiller.exe
  2. ConfuserExExpressionKiller.exe
  3. ConfuserExPredicateKiller.exe
  4. ConfuserExSwitchKiller.exe

Ранг: 7.1 (гость), 3thx
Активность: 0=0
Статус: Участник

 Создано: 27 января 2016 09:02
· Личное сообщение · #15

lz
У тебя по всей видимости модифицированная версия ConfuserEx. ConfuserEx опенсорс, поэтому сваять на его основе свой протектор, дело нетрудное.
lz пишет:
А вот как быть с зашифрованными вызовами функций (Reference proxies), с которыми связана куча "делегатов"?
Пробовать ConfuserDelegateKiller



Ранг: 6.2 (гость), 1thx
Активность: 0.010
Статус: Участник

 Создано: 27 января 2016 11:07
· Личное сообщение · #16

ConfuserDelegateKiller вылетает с исключением

Code:
  1. System.Reflection.TargetInvocationException: Адресат вызова создал исключение. ---> System.TypeInitializationException: Инициализатор типа "<Module>" выдал исключение. ---> System.TypeInitializationException: Инициализатор типа "Delegate7" выдал исключение. ---> System.ArgumentOutOfRangeException: Маркер 0xc3905e89 недопустим в области действия модуля koi.
  2. Имя параметра: metadataToken
  3.    в System.Reflection.Module.ResolveMethod(Int32 metadataToken, Type[] genericTypeArguments, Type[] genericMethodArguments)
  4.    в smethod_25(RuntimeFieldHandle runtimeFieldHandle_0, Byte byte_1)
  5.    в Delegate7..cctor()

Ранг: 7.1 (гость), 3thx
Активность: 0=0
Статус: Участник

 Создано: 27 января 2016 11:39
· Личное сообщение · #17

lz пишет:
ConfuserDelegateKiller вылетает с исключением
Тогда путь один - сделать сорцы ConfuserDelegateKiller и выяснить(в дебаге), почему он падает.



Ранг: 24.3 (новичок), 65thx
Активность: 0.010
Статус: Участник

 Создано: 27 января 2016 12:40
· Личное сообщение · #18

lz
Вот частично распаковал - http://rghost.ru/private/8Lj92dW8Q/e38830d8061863941caeb90206e219a6

Если пройтись de4dot'ом, то сборка работать не будет, но можно получить абсолютно читаемый код (для анализа). Чтобы она работала после de4dot, необходимо пофиксить лишь несколько делегатов и констант. Для этого нужно разбирать сырки уже существующих утилит.

| Сообщение посчитали полезным: lz

Ранг: 6.2 (гость), 1thx
Активность: 0.010
Статус: Участник

 Создано: 27 января 2016 14:22
· Личное сообщение · #19

SHADOW785,

Огромнейшее спасибо!
Без этих делегатов всё стало именно так, как нужно!
Не поделитесь секретом, как вам это удалось?
Хотя бы "пинок" в нужную сторону дайте - утилиткой какой или руками?
И вообще - это стандартное поведение конфузера или модификация?

Добавлено спустя 1 час 21 минуту
Вижу оставшиеся делегаты (в классе ActivationForm) и пару нерасшифрованных констант (целочисленные, StringDecryptor не обработал).

Хочу понять, как же всё-таки "фиксить" делегаты? Расшифровку констант поймаю в отладчике.
Кстати, имена ресурсов для форм перекодированы, я их восстановил.



Ранг: 24.3 (новичок), 65thx
Активность: 0.010
Статус: Участник

 Создано: 27 января 2016 22:42
· Личное сообщение · #20

lz
Здесь важно правильно распаковать три первых слоя (антитампер + пакер + антитампер). Я делал это "руками". Далее, работают стандартные утилиты, кроме ConfuserExDelegateKiller. Как я написал выше, необходимо его фиксить.

| Сообщение посчитали полезным: splinger, lz

Ранг: 6.0 (гость)
Активность: 0=0
Статус: Участник

 Создано: 28 января 2016 00:23
· Личное сообщение · #21

lolo133 пишет:
PS:
Сделал исходники - там тоже всё есть

Благодарствую, попробую твои исходники допилить, непонимаю почему у меня этих классов нет. Первое действие я выполнял двумя способавми:
1. UnConfuserEx 1.0 у меня сразу режет эти классы.
2. Через dnSpy включаю отладку, после инициализации сборки делаю ее дамп, но там тоже их нет.

Скинь пожалуйста еще бинарник до извлечения исходников и если не трудно опиши свои действия.

Еще раз спасибо!

Добавлено спустя 2 минуты
PS
SAE это что такое?



Ранг: 134.1 (ветеран), 246thx
Активность: 0.220.1
Статус: Участник
realist

 Создано: 28 января 2016 01:43
· Личное сообщение · #22

splinger пишет:
SAE это что такое?
--> Simple Assembly Explorer <--

| Сообщение посчитали полезным: splinger

Ранг: 6.2 (гость), 1thx
Активность: 0.010
Статус: Участник

 Создано: 28 января 2016 10:55 · Поправил: lz
· Личное сообщение · #23

splinger,

1. Столкнулся с таким же поведением UnConfuserEx. Я так понял, что в версии конфузера 0.6 были внесены изменения в защите, которые ещё не учтены автором анконфузера.
2. Я распаковывал по методике Shadow с помощью WinDbg по брейкпоинту на VirtualProtect'e (я так понимаю, Shadow785 с этого форума и есть автор ). У румынских коллег гуглится легко: Тыц

| Сообщение посчитали полезным: lolo133


Ранг: 337.6 (мудрец), 224thx
Активность: 0.210.1
Статус: Участник
born to be evil

 Создано: 31 января 2016 18:38 · Поправил: ajax
· Личное сообщение · #24

--> Link <--
pass 111
либо confuser последний, либо модификация. цена проги ~40$, интересно бы заглянуть внутрь. для русских ограничение. инжект и тп мона попробовать, на англ у меня все запускается. именно вопрос снятия шняги

зы: да, пассом опечатался поправил

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

Ранг: 137.9 (ветеран), 45thx
Активность: 0.080
Статус: Участник

 Создано: 02 февраля 2016 22:05
· Личное сообщение · #25

ajax пишет:
pass 11
Там 111



Ранг: 88.2 (постоянный), 58thx
Активность: 0.110.04
Статус: Участник

 Создано: 05 февраля 2016 05:00
· Личное сообщение · #26

ajax
--> Link <--
Если просто посмотреть все видно если запускать то нужно чуть помучиться
Удачного просмотра

| Сообщение посчитали полезным: ajax


Ранг: 56.2 (постоянный), 14thx
Активность: 0.120
Статус: Участник

 Создано: 09 февраля 2016 15:39
· Личное сообщение · #27

Подскажите как в рэфлекторе выловить окно рег формы если заголови стёрты а текст месаджбоксов на русском?



Ранг: 330.4 (мудрец), 334thx
Активность: 0.160.17
Статус: Участник
ILSpector Team

 Создано: 09 февраля 2016 16:53
· Личное сообщение · #28

а почему в рефлекторе то? ))))




Ранг: 56.2 (постоянный), 14thx
Активность: 0.120
Статус: Участник

 Создано: 09 февраля 2016 17:31
· Личное сообщение · #29

хороший вопрос))) можно и не в рефлекторе , например можно и в olly dbg ,старый фокус с отлловом через поиск в memerymap и бряком на чтение тут не проходит так как в памяти ничего нет.



Ранг: 45.7 (посетитель), 40thx
Активность: 0.030
Статус: Участник

 Создано: 09 февраля 2016 19:50
· Личное сообщение · #30

script_kidis пишет:
например можно и в olly dbg
olly и .net-как они связаны?script_kidis пишет:
а текст месаджбоксов на русском?
и что?



Ранг: 4.2 (гость), 2thx
Активность: 0=0
Статус: Участник

 Создано: 09 февраля 2016 22:38
· Личное сообщение · #31

igorca пишет:
olly и .net-как они связаны?

Отлично связанны. Особенно бряки на compilemethod удобно ставить...

| Сообщение посчитали полезным: script_kidis
<< 1 ... 36 . 37 . 38 . 39 . 40 . 41 . 42 . 43 . 44 . 45 . 46 ... 49 . 50 . >>
 eXeL@B —› Основной форум —› Взлом dotNET программ
Эта тема закрыта. Ответы больше не принимаются.
   Для печати Для печати