Со времени создания топика много обсудили, во много м разобрались и много осталось за кадром. Решил подшить выкладываемый софт и линки

Инструменты:

dnSpy - бодрый декомпилятор и отладчик тут беты

Gray Wolf - DE-ObfuScatE / Edit IL(Live) / Add payloads / Edit attributes(public/privet) / Copy strong names signing on EXE/DLL
ReSharper 6.0 Build 2093 Pre-Release - Очень навороченый декомпилер, побробности --> ТУТ <--.
Рег-данные:

Reflector 8.3.3.115 - платный декомпилятор .NET 8.3.0.95 + (дополнение к нему)
Седьмая версия рефлектора - думаю все знают
Сборка Add-in'ов для Reflector - есть много полезных вещей
.Net ID 1.0.0.3 - определение защиты
DNiD by Rue - сигнатурный анализатор
Dotnet IL Editor (DILE)- Opensource дизассемблер и дебаггер
Xenocode Fox Code Analyzer- профайлер и дизассемблер
Reactor Decryptor 1.7 - что то декриптит, но что не понятно(с) zeppe1in
Simple Assembly Explor (SAE) - Assembler, Disassembler, Deobfuscator, IL editor and more...
DotNet Dumper 1.0 - Дампер .net'овских приложений. Подробное описание
Kurapica dotNET Tracer 1.1 - трейсер от известного автора инструментов для .net
ILSpy 1.0.0.481 - Opensource комбайн, на подобие SAE. Подробности тут
dotTrace Performance 4.0.665.4 - Неплохой трейсер для .Net приложений. Умеет делать трейсы не смешивая потоки как KDT. Умеет сравнивать трейсы двух запусков программы
Рег-данные:

Universal Fixer 1.0 - fix dumps after dumping them whit Dotnet Dumper or other similiar tools and will also fix nasty things: multiple assembly/module definitions, wrong extends, etc.
iMPROVE .NET Deobfuscator - деобфускатор


ConfuserDumper
ConfuserDelegateKiller
CodeCrackerTools: ConfuserMethodsDecryptor, ConfuserDelegateKiller, ConfuserStringDecryptor, MegaDumper, etc.

Статьи с хабры:
Защита .NET приложений - Субъективная теоретическая муть с хабры, выдаваемая за обзор обфускаторов(только для фанатов)
Как обмануть NET.Reflector - вот это уже годная статья, в которой рассматривается ручная обфускация в стихах и картинках
Взлом программ для чайников - ну не знаю...прописные истины, но приятно, что все это есть на русском языке и нормально оформлено
Реверс-инжиниринг обфусцированной сборки .NET - один только заголовок чего стоит. По сути статья информативная
Инъекции MSIL кода в стороннюю сборку при помощи Mono.Cecil. Реализация принципов АОП в NET
Избавление .NET программы от регистрации на примере BEM
Снимаем дамп объектов с памяти .Net приложения

Другое:
.NET Reflector v7.0.0.198 (C# Source by wangshy)
[url=http://lifeinhex.com/string-decryption-with-de4dot/]String decryption with de4dot[/url

-

Last edit: 2012-02-17, Links fixed. Jupiter]

| Сообщение посчитали полезным:

Medsft пишет:
А вообще народ прикольная штука. В референсах нету mscoree.dll однако ilspector ее открывает)

также впроічем как и dnSpy v2.x

| Сообщение посчитали полезным:

jshapen пишет:
Это конфьюзер?

Нет.

https://www.sendspace.com/file/6bn0zq

| Сообщение посчитали полезным:

jshapen пишет:
nt7.x86.dll хочу ее))) отдай. нашел сам спс.

| Сообщение посчитали полезным:

Подскажите чем распаковать программу ? Думаю упаковано Confuser или чем аналогичным. Распакованные автоматическими инструментами дампы отказываются запускаться и вменяемо отображать код в декомпиляторах.
http://rghost.ru/7XTNFN9gh
https://www.sendspace.com/file/72j52y

| Сообщение посчитали полезным: Radzhab

В общем пытаюсь расковырять софтину Recovery for Access. В принципе название говорит само за себя. На офф сайте есть демо версия программы, однако при анализе выяснилось что оно поддерживает активацию и никакая она не демо) Посмотрел весь код, поправил где надо и вуа ля) Пишет что стандартная лицензия. Все бы ничего, однако при просмотре данных он вместо полей в таблицах пишет demo. Посмотрел полностью код - там такого текста нет. Сам софт девственно чист и ничем не запакован. Подскажите друзья что я не так делаю.

пасс exelab

-->исправленная версия<--

| Сообщение посчитали полезным:

Добавьте в шапку инструмент --> dnSpy<-- замечательный дебаггер и редактор для .Net

| Сообщение посчитали полезным: Radzhab, Jaa

Radzhab пишет:
Подскажите друзья что я не так делаю
[img]http://prntscr.com/azpc56[/img] тут с ломом не пройдешь. Есть до фигищя мест где проверяется сама лицензия
Сильно сомневаюсь что комплект полный и будет работать как надо.
Совет: Интересная я даже сказал бы не защита а так способ запуска программы. Итак дорогой мой Radzhab хотите изучать Nет?, тогда попробуйте начать с того чтобы запустить данную программу под отладчиком пока без цели ее сломать. И вот когда у вас это получится то я думаю поставив бряки на всякие там checkLicense вы поймете о чем я писал выше.
Нее есть конечно и более простой путь но я Вам его пока не скажу вдруг Вы все таки захотите Net изучить по настоящему.

| Сообщение посчитали полезным: Radzhab

Medsft пишет:
Итак дорогой мой Radzhab хотите изучать Nет?
Ну я более менее кодю на c#)

| Сообщение посчитали полезным:

Radzhab пишет:
Ну я более менее кодю на c#) ну так накодь запуск данного продукта под отладчиком))) Руку набьешь.
Такс раз уж зашел еще раз сюда.
Комплект неполный. Потратил 15 минут нашел полный, на руборде валяется. Но он там незаломанный так что поле деятельности есть.
Заходишь в License manager ставишь офф активацию и пошел по ступенькам под отладчиком.

| Сообщение посчитали полезным:

Всем привет. Столкнулся с защитой "ConfuserEx v0.5.0".
Походил по инету нашёл несколько инструментов
1) UnConfuserEx ом распаковал
2) прогнал ConfuserExFixer ом, прога запустилась с ошибкой.Профиксил Universal_Fixer ом .
3) ConfuserExStringDecryptor сказал что версия фреймворка выше поддерживаемой, сменил фреймворк, декриптил строки, сменил фрейворк обратно.
4) ConfuserExSwitchKiller убрал эти свитчи и в коде стало можно ковыряться но после него программа не запускается( . После de4dot прога тоже не запускается. Какой ещё есть способ снять свитчи чтобы прога осталась рабочей? вот она тут --> Link <--

| Сообщение посчитали полезным:

Mnemonik
http://rgho.st/private/7nTcwYy6h/79a1f2d9c633ece362c5b41b81284187

| Сообщение посчитали полезным: Mnemonik

SHADOW785
Большое спасибо за труд. Очень интересно как это всё удалось проделать? какими инструментами или руками? Я ещё только учусь по этому интересно)

| Сообщение посчитали полезным:

Mnemonik
Частично инструментами от CodeCracker, частично руками.

| Сообщение посчитали полезным:

Здравствуйте! Последняя версия de4dot сказала, что файл защищен с помощью .NET Reactor 4.5+ Во время работы утилиты получил ошибки такого плана:



В результате фикшенный файл не запускается, но открывается в рефлекторе. При просмотре интересных мне функций падает.

DiE сказала, что это .NET Reactor(4.8-4.9). Пробовал использовать модифицированный de4dot-mod-reactor_4.9, который советовали в этой теме:

https://exelab.ru/f/action=vthread&forum=13&topic=23352

Результат такой же. Подскажите, пожалуйста, чем мне произвести деобфускацию методов.

Ссылка на файл: https://mega.nz/#!RQUWHaRK!hZ9bdWAqHVdVdsCLAr9h_J5ODFI0yPD3Ahl8PsU8Zo4

| Сообщение посчитали полезным:

Lambda пишет:
Подскажите, пожалуйста, чем мне произвести деобфускацию методов а Вам все методы нужно деобфусцировать или только некоторые?

| Сообщение посчитали полезным:

Medsft пишет:
а Вам все методы нужно деобфусцировать или только некоторые?

Только некоторые. Меня интересует код метода:

Timer1_Tick(Object, EventArgs) : Void

| Сообщение посчитали полезным:

так найди тему ILSpector, скачай, установи, загрузи в него сборку, найди в дереве твой метод, жамк правую кнопку мыши на нем, внизу найдешь plugin starter а в нем плагин для netreactora и старт его. И будет тебе счастье.

Пиарюсь помаленьку.

| Сообщение посчитали полезным: Lambda

Скачал ILSpector Version: 3.6.1

- открыл файл после обработки в de4dot
- сделал клик ПКМ по необходимому мне методу
- выбрал "Deobfuscation plugin's starter"
- выбрал "NetReactor Plugin" (1.0.0 (2016))
- затем "Execute plugin"

Но, к сожалению, после этих действий ничего не поменялось. Новое окно не появилось.

В окне кода метода по прежнему ошибка декомпиляции. Пробовал сделать "Analyse" после запуска плагина. Результат тот же.

http://5cm.ru/view/i7/vqn8.png

| Сообщение посчитали полезным:

http://www.mediafire.com/download/b69c9xa4p4p3ww6/xLikeProPreUnpack.zip тебе так полегче будет)
P/S.Плагин использовать

| Сообщение посчитали полезным:

Спасибо, работает.

А почему раньше не работало? Как Вы обработали файл?

Что можно сделать с зашифрованными строками?

P.S. Было бы удобно иметь возможность натравить плагин на все или несколько методов сразу. Я пробовал выделить несколько методов и задействовать плагин. В результате производится деобфускация только одного метода.

| Сообщение посчитали полезным:

Обращайтесь за всеобщей деобфускацией к авторам de4dot.
ILSpector инструмент исследователя, а не деобфускатор.

| Сообщение посчитали полезным:

ОК, спасибо.

Почему плагин не срабатывал на файле который я залил?

Что необходимо было сделать с файлом?

Не хотелось бы Вас отвлекать при такой же ситуации.

| Сообщение посчитали полезным:

IntelliLock протектор уровня - достойный.
На паблике автоанпакеров нет (некоторые пишут что готовность "as soon так сразу") как вариант можете подождать.
Защита похожа на капусту на 0 уровне это твой exeшник у которого нет тел всех методов но есть ресурсы.
После запуска для того чтобы открыть эту самую форму с запросом ID из ресурсов вытаскивается шкурка(assembly) 1 уровня у которой есть тела части методов а может есть в ресурсах еще шкурки. Отвечаешь правильно на вопрос первой формы достается следующая. Одна из проблем что в раскриптовке участвует паблик key который берется от хеша assembly и хер знает чего еще (MSDN в руки) и как только ты например решил только раскриптовать стринги (которые без проблем раскриптовываются например SAE) на выходе получаешь нерабочую сборку т.к. хеш другой.Ну вообщем и т.д. и т.п.
Есть три варианта дальнейших событий с твоей стороны
- забить на этот бот большой болт
- обратиться к за помощью здесь на форуме (скорее всего за денежку)
- читать усиленно форумы по de4dot и понять что там ему подправить надо чтоб снимал эту защиту.

Грубо говоря мой эзешник это 1 уровень)

| Сообщение посчитали полезным: Lambda

С этим файлом задача уже решена.

Нужно было узнать оффсеты, по которым утилита патчит программу.

Можно было запустить в отладчике у лицензированного пользователя или написать dll для перехвата ReadProcessMemory и WriteProcessMemory.

Но хотелось освоить другой метод.

Большое спасибо за помощь.

P.S. SAE действительно справилась со строками.

| Сообщение посчитали полезным:

АЗы расшифровки строк с de4dot [EN]

String decryption with de4dot

Да и вообще блог интересный, есть что почитать.

-----
[nice coder and reverser]

| Сообщение посчитали полезным: Dynamic, sendersu

Здравствуйте, помогите пожалуйста с файлом, перепробовал разное, не получается превратить его в рабочий исходный код, натыкали делегатов разных, я в них не понимаю, возможно платно, свою цену мне в лс)

c773_12.06.2016_EXELAB.rU.tgz - Quatloo-Trader2.3.part1.rar

Добавлено спустя 1 минуту
Часть 2

abcf_12.06.2016_EXELAB.rU.tgz - Quatloo-Trader2.3.part2.rar

Добавлено спустя 1 минуту
И часть 3

2eba_12.06.2016_EXELAB.rU.tgz - Quatloo-Trader2.3.part3.rar

| Сообщение посчитали полезным:

Коллеги, имею exe таргет накрытый похоже 4.8(?) реактором.

дедот мод от PC-RET 4.9 его не взял, падает на инициализации ключа декрипта.

мод от kao распаковал нормально, но все нужные мне функции возвращают 0, или false/true, или null.
Т.е. методы пустые только с интрукцией возврата. Правильно я понимаю, что это necrobit фича так работает?
Умеет ли de4dot некробит восстанавливать или только анпак?

Решил ручками поковырять.
Выковырял из кода протектора основную функцию, вычислил AES ключ и вектор. проксорил по константе, переесобрал, декриптанул embedded ресурс с табличками и процедурами.

Паблик кей там нулевой, поэтому там криптится константой.
Дальше немного стопорнул, знаний не хватает. Судя по коду, проектор пишет в exe через VirtualProtect/ProcessMemory офсеты и тела процедур, но на анпакнутом вариант после дедота,естественно не работает.


Эта процедурка пишет считанные офсеты из ресура и блоки в сам запускаемый файл и вот тут у меня валится на распакованном ехе.

Пните в нужном направлении, пожалуйста.

| Сообщение посчитали полезным:

supaplex
Новый реактор 5.0, полагаю. Если не берёт официальная последняя версия de4dot (из github) и мой мод, то скинь сюда файлик, пусть люди глянут.

| Сообщение посчитали полезным:

supaplex пишет:
Эта процедурка пишет считанные офсеты из ресура и блоки - ни хрена не понятно из того кода что ты привел где находится область памяти которую патчит данный фрагмент кода, вторая непонятка патчит он для того чтобы скрыть что-то или для того чтоб работало, вообще я бы начал работу не с оригинальным файлом а с дампом. И еще хорошо бы проверить нет ли процедур которые данную область памяти обратно патчат Соотвествноо надо отключить какойто из этих кусков кода прежде чем делать дамп

| Сообщение посчитали полезным:

Детектора кажет 4.8-4.9
Протектил шаблон и 4.9 и 5.0 - похоже что что-то из них.
Ссылка на файл.
--> Link <--

Код из метода Class15.smethod_16();

Я рипнул эту процедуру отдельно в проект вместе с ресурсами и трассирую.

| Сообщение посчитали полезным: