Со времени создания топика много обсудили, во много м разобрались и много осталось за кадром. Решил подшить выкладываемый софт и линки

Инструменты:

dnSpy - бодрый декомпилятор и отладчик тут беты

Gray Wolf - DE-ObfuScatE / Edit IL(Live) / Add payloads / Edit attributes(public/privet) / Copy strong names signing on EXE/DLL
ReSharper 6.0 Build 2093 Pre-Release - Очень навороченый декомпилер, побробности --> ТУТ <--.
Рег-данные:

Reflector 8.3.3.115 - платный декомпилятор .NET 8.3.0.95 + (дополнение к нему)
Седьмая версия рефлектора - думаю все знают
Сборка Add-in'ов для Reflector - есть много полезных вещей
.Net ID 1.0.0.3 - определение защиты
DNiD by Rue - сигнатурный анализатор
Dotnet IL Editor (DILE)- Opensource дизассемблер и дебаггер
Xenocode Fox Code Analyzer- профайлер и дизассемблер
Reactor Decryptor 1.7 - что то декриптит, но что не понятно(с) zeppe1in
Simple Assembly Explor (SAE) - Assembler, Disassembler, Deobfuscator, IL editor and more...
DotNet Dumper 1.0 - Дампер .net'овских приложений. Подробное описание
Kurapica dotNET Tracer 1.1 - трейсер от известного автора инструментов для .net
ILSpy 1.0.0.481 - Opensource комбайн, на подобие SAE. Подробности тут
dotTrace Performance 4.0.665.4 - Неплохой трейсер для .Net приложений. Умеет делать трейсы не смешивая потоки как KDT. Умеет сравнивать трейсы двух запусков программы
Рег-данные:

Universal Fixer 1.0 - fix dumps after dumping them whit Dotnet Dumper or other similiar tools and will also fix nasty things: multiple assembly/module definitions, wrong extends, etc.
iMPROVE .NET Deobfuscator - деобфускатор


ConfuserDumper
ConfuserDelegateKiller
CodeCrackerTools: ConfuserMethodsDecryptor, ConfuserDelegateKiller, ConfuserStringDecryptor, MegaDumper, etc.

Статьи с хабры:
Защита .NET приложений - Субъективная теоретическая муть с хабры, выдаваемая за обзор обфускаторов(только для фанатов)
Как обмануть NET.Reflector - вот это уже годная статья, в которой рассматривается ручная обфускация в стихах и картинках
Взлом программ для чайников - ну не знаю...прописные истины, но приятно, что все это есть на русском языке и нормально оформлено
Реверс-инжиниринг обфусцированной сборки .NET - один только заголовок чего стоит. По сути статья информативная
Инъекции MSIL кода в стороннюю сборку при помощи Mono.Cecil. Реализация принципов АОП в NET
Избавление .NET программы от регистрации на примере BEM
Снимаем дамп объектов с памяти .Net приложения

Другое:
.NET Reflector v7.0.0.198 (C# Source by wangshy)
[url=http://lifeinhex.com/string-decryption-with-de4dot/]String decryption with de4dot[/url

-

Last edit: 2012-02-17, Links fixed. Jupiter]

| Сообщение посчитали полезным:

script_kidis - подтолкну пожалуй, а то ты такими темпами начнешь sube слушать. ILspector не слышал? )))) Народ сорри за пиар.

sube - МЕГАМОЗГ. Расскажи нам грешным хотя бы алгоритм мысли как это ты собрался с помощью compilemethod решать задачку script_kidis.

| Сообщение посчитали полезным:

Medsft пишет:

sube - МЕГАМОЗГ. Расскажи нам грешным хотя бы алгоритм мысли как это ты собрался с помощью compilemethod решать задачку script_kidis.

Вопрос был как связаны olly и .net. А не как решить задачу script kids.

Для решения его задачи достаточно Sae. Он с русским дружит

| Сообщение посчитали полезным:

файл покрыт реактором , пробовал сдампить через NDD and NGU невышло,может новые инструменты есть?

| Сообщение посчитали полезным:

script_kidis
попробуй мод Shadow, на тутсях пробегал

| Сообщение посчитали полезным: script_kidis

Существует ли утилита или плагин, чтобы вытаскивать корректные имена методов и классов (и прочего) после обфусцирования crypto obfuscator ? Или переименование идёт окончательное и придётся мириться с такими именами ? de4dot (с ключем --dont-rename и без него), конечно, справляется, но имена все битые.

Таргет файл, обфусцированный

http://rghost.ru/private/6zh4p2899/8e176cdb55f85cebfa933419577f68a7

| Сообщение посчитали полезным:

Slinger пишет:
Существует ли утилита или плагин, чтобы вытаскивать корректные имена методов и классов а ты сам подумай зачем разработчику в релизе вообще корректные имена.? Хотя если в продукте есть баг репорты то я сделал у себя таблицу подстановок

| Сообщение посчитали полезным:

Medsft Ну у некоторых других обфускаторов тот же de4dot после деобфускации вытаскивает реальные имена

| Сообщение посчитали полезным:

Ситуация: есть несколько обфусцированных сборок, расширяющих и использующих одно общее пространство имён.
Если деобфусцировать их по отдельности, то имена, принадлежащие другой сборке, останутся обфусцированными.
Соответственно, если деобфусцировать все сборки, вместе они уже работать не смогут - часть имён не будет совпадать.
Собственно, вопрос - можно ли заставить дедот (или мож какая утилита еще есть?) анализировать несколько заданных сборок сразу и обрабатывать всё пространство имён?

nick8606
ни за что бы не догадался, спасибо!
оказывается, достаточно одной кучей передать несколько сборок, и они будут обработаны все сразу

| Сообщение посчитали полезным:

-=AkaBOSS=-

de4dot -r dirname -ro diroutput

| Сообщение посчитали полезным: igorca, -=AkaBOSS=-

народ, а есть дифф для net сборок? а то напатчил, а теперь искать все это обламывает.. плагин для рефлектора показывает разницу, но только если сам тыкнешь куда надо, а нужно чтоб все вывалил

| Сообщение посчитали полезным:

sapog93 пишет:
народ, а есть дифф для net сборок?

http://girishjjain.com/blog/post/Assembly-Comparer-Tool.aspx

| Сообщение посчитали полезным: sapog93

uncleua пишет:
sapog93 пишет:
народ, а есть дифф для net сборок?

http://girishjjain.com/blog/post/Assembly-Comparer-Tool.aspx

Хорошая тулза, но имейте в виду: обламывается на некоторых сборках. То есть разница, как бы есть, но программа не показвает это...

---------

К посту ниже:
Telerik выложили на гитхаб свой декомпилятор(консольную версию)
Можно сделать батник, получить сырцы с целей, а потом тотал коммандером сравнить, что изменилось(через синхронизацию каталогов)

| Сообщение посчитали полезным:

Можно de4dot чуток переписать для сравнения сборок. Подсчитываем для каждого метода md5 и потом сравниваем. Можно будет даже сравнивать две сборки с обфусцированными именами. В не особо запущенных случаях должно помочь.

Также можно сделать два комплекта "исходников" в рефлекторе и сравнить через total commander.

Это как альтернативные варианты.

| Сообщение посчитали полезным:

Парни , может есть литература или статьи на русском (желательно но не критично .) По реверсенгу шарпа , а то я вообще не понимаю что это за дичь . http://prntscr.com/a4zpy9

| Сообщение посчитали полезным:

KawaiCoding
вкладку на IlSpy переключи, увидишь декомпиленный код

а по сути - эта дичь называется MSIL (он же CIL)
основы по нему можно почитать на васме, например.

| Сообщение посчитали полезным:

-=AkaBOSS=-
Спасибо , так статей по реверсенгу шарпа нету ?

| Сообщение посчитали полезным:

KawaiCoding пишет:
так статей по реверсенгу шарпа нету ?
что вы вообще понимаете под реверсом шарпа? вы шарп знаете? напишите Хелоу волд.. разберите его в MSIL
потом усложняйте задачу. Что вы хотите в статья по реверсу увидеть?
почитайте спеку по MSIL и книжки по шарпу. в чем проблема?

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

KawaiCoding пишет:
статей по реверсенгу шарпа нету
+1 повеселило.
dnSpy-1.5.0.0 в зубы, вот и весь реверсинг. Загрузил, сохранил, и реверси не хочу..
Язык высокого уровня доступен???

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Шапку бы обновить по актуальным инструментам...

| Сообщение посчитали полезным:

Если кто-нибудь оформит пост с новым списком софта, я в шапке тогда обновлю.

| Сообщение посчитали полезным:

Обновление: Reflector v9.0.1.374

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным: Dart Raiden, plutos

Есть у кого тутор по ручной распаковке ilprotector? Пусть старый, пофиг, принцип бы понять.

-----
SaNX

| Сообщение посчитали полезным:

dnSpy 2.0.0.0
https://github.com/0xd4d/dnSpy/releases/tag/v2.0.0.0


| Сообщение посчитали полезным:

It requires .NET Framework 4.6 to run.
еще 2.0 beta не требовала и нормально запускалась на WinXP.

| Сообщение посчитали полезным:

Комрады,

а есть ли universal fixer для AMD64 бинарей?
ну или тутор\дока по вопросу исправления дампов для 64 бит...?

Спасибо.

| Сообщение посчитали полезным:

Это конфьюзер?

36f2_14.04.2016_EXELAB.rU.tgz - EminiTraderReversion_RC2.X86.dll

| Сообщение посчитали полезным:

jshapen пишет:
Это конфьюзер? спроси у de4dot.

| Сообщение посчитали полезным:

Спрашивал. Молчит как партизан.

| Сообщение посчитали полезным:

Ну раз он молчит то скажу я это не конфузер, и не один из известных протекторов. скинь мне в личку ссылку на библиотеку nt7.x86.dll.
А вообще народ прикольная штука. В референсах нету mscoree.dll однако ilspector ее открывает)

| Сообщение посчитали полезным:

nt7.x86.dll Нет такого файла.
В комплекте шла только еще 64-битная версия

d19c_14.04.2016_EXELAB.rU.tgz - EminiTraderReversion_RC2.X64.dll

| Сообщение посчитали полезным: