Со времени создания топика много обсудили, во много м разобрались и много осталось за кадром. Решил подшить выкладываемый софт и линки

Инструменты:

dnSpy - бодрый декомпилятор и отладчик тут беты

Gray Wolf - DE-ObfuScatE / Edit IL(Live) / Add payloads / Edit attributes(public/privet) / Copy strong names signing on EXE/DLL
ReSharper 6.0 Build 2093 Pre-Release - Очень навороченый декомпилер, побробности --> ТУТ <--.
Рег-данные:

Reflector 8.3.3.115 - платный декомпилятор .NET 8.3.0.95 + (дополнение к нему)
Седьмая версия рефлектора - думаю все знают
Сборка Add-in'ов для Reflector - есть много полезных вещей
.Net ID 1.0.0.3 - определение защиты
DNiD by Rue - сигнатурный анализатор
Dotnet IL Editor (DILE)- Opensource дизассемблер и дебаггер
Xenocode Fox Code Analyzer- профайлер и дизассемблер
Reactor Decryptor 1.7 - что то декриптит, но что не понятно(с) zeppe1in
Simple Assembly Explor (SAE) - Assembler, Disassembler, Deobfuscator, IL editor and more...
DotNet Dumper 1.0 - Дампер .net'овских приложений. Подробное описание
Kurapica dotNET Tracer 1.1 - трейсер от известного автора инструментов для .net
ILSpy 1.0.0.481 - Opensource комбайн, на подобие SAE. Подробности тут
dotTrace Performance 4.0.665.4 - Неплохой трейсер для .Net приложений. Умеет делать трейсы не смешивая потоки как KDT. Умеет сравнивать трейсы двух запусков программы
Рег-данные:

Universal Fixer 1.0 - fix dumps after dumping them whit Dotnet Dumper or other similiar tools and will also fix nasty things: multiple assembly/module definitions, wrong extends, etc.
iMPROVE .NET Deobfuscator - деобфускатор


ConfuserDumper
ConfuserDelegateKiller
CodeCrackerTools: ConfuserMethodsDecryptor, ConfuserDelegateKiller, ConfuserStringDecryptor, MegaDumper, etc.

Статьи с хабры:
Защита .NET приложений - Субъективная теоретическая муть с хабры, выдаваемая за обзор обфускаторов(только для фанатов)
Как обмануть NET.Reflector - вот это уже годная статья, в которой рассматривается ручная обфускация в стихах и картинках
Взлом программ для чайников - ну не знаю...прописные истины, но приятно, что все это есть на русском языке и нормально оформлено
Реверс-инжиниринг обфусцированной сборки .NET - один только заголовок чего стоит. По сути статья информативная
Инъекции MSIL кода в стороннюю сборку при помощи Mono.Cecil. Реализация принципов АОП в NET
Избавление .NET программы от регистрации на примере BEM
Снимаем дамп объектов с памяти .Net приложения

Другое:
.NET Reflector v7.0.0.198 (C# Source by wangshy)
[url=http://lifeinhex.com/string-decryption-with-de4dot/]String decryption with de4dot[/url

-

Last edit: 2012-02-17, Links fixed. Jupiter]

| Сообщение посчитали полезным:

Вообще, последний dnSpy всегда лежит тут и скорость там нормальная:
--> Link <--

-----
Crack your mind, save the planet

| Сообщение посчитали полезным:

Вообще, он нафиг не нужен был последний.
Нужна была версия работающая на винХП.

| Сообщение посчитали полезным:

Доброго всем времени суток.
Уже несколько дней с неугасаемым энтузиазмом вожусь с одной библиотечкой.
Agile.NET 6.3.2.2 NinjaTrader Edition. Довольно хитрая виртуализация там.

В de4dot появляются ошибки при сохранении модуля -



При попытках дебага библиотечка активно отбивается -



Думал еще попробовать произвести подмену DLL Agile.NET на более ранние версии,
но не смог нигде их найти.

В принципе, насколько я понял, защита аналогична таковой в посте --> Link <--
И уважаемый SHADOW785 ее таки вскрыл.

Может SHADOW785 или другие уважаемые коллеги посоветуют что...
Куда копать и как вскрывать?

(сама библиотечка во вложении).

bf07_23.10.2016_EXELAB.rU.tgz - Final.MarketBalance.dll.zip

| Сообщение посчитали полезным:

Продолжаю пинать упакованный Agile.NET модуль.

de4dot после некоторых модификаций и вовсе отрабатывает без ошибок -


Но при этом не восстанавливает ни одного метода, оставляя их пустыми.
Видимо поменялась виртуальная машина в новых версиях Agile.NET.
А на обновление de4dot немного подзабили последнее время.

| Сообщение посчитали полезным:

Дедот для Reactor 5.0:
--> Link <--
--> Mirror <--

Мопед не мой, не тестил.

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным: Styx, Dart Raiden

dnSpy 3.0 зарелизился

| Сообщение посчитали полезным:

Есть DLL обработанная .net reactor, если подключить ее к проекту, то видно малое число неймспейсов, далеко не все, что есть в библиотеке. Файл возможно как-то дополнительно модифицировать, чтобы использовать в своих проектах?

| Сообщение посчитали полезным:

1) снять реактор
2) использовать как есть (прот не должен обфуцировать паблик имена, по идее)
тоесть все что сожрал - внутрення кухня дллки

| Сообщение посчитали полезным: Kaimi

Desc пишет:
Продолжаю пинать упакованный Agile.NET модуль.

de4dot после некоторых модификаций и вовсе отрабатывает без ошибок -

Code:
de4dot v3.1.41592.3405 Copyright (C) 2011-2015 de4dot@gmail.com
Latest version and source code: https://github.com/0xd4d/de4dot
 
Detected CliSecure (C:\Program Files (x86)\NinjaTrader 8\bin\Final.MarketBalance.dll)
Cleaning C:\Program Files (x86)\NinjaTrader 8\bin\Final.MarketBalance.dll
Renaming all obfuscated symbols
Saving C:\Program Files (x86)\NinjaTrader 8\bin\Final.MarketBalance-cleaned.dll

Но при этом не восстанавливает ни одного метода, оставляя их пустыми.
Видимо поменялась виртуальная машина в новых версиях Agile.NET.
А на обновление de4dot немного подзабили последнее время.

Попалась в руки подобная приблуда .
На сколько я понял это кастомное решение NinjaTrader , отличается от стандарта только лишь тем что CliSecure накрыта фимкой , которая благополучно снимается .
Тем не менее часть кода не представляется возможным восстановить , та и не требуется .
Не претендую на знатока .Net (если бы в руки не попалась одна либа , то овобще еще неизвестно когда пришлось бы изучать), но не захотел мучать допиливанием de4dot до рабочего .
Взял dnlib(спасибо автору) , поставил хук на самой вызов compileMethod из либы CliSecure , !!не на оригинальный код !!, ибо либа активно чекает находиться ли точка входа в процедуру compileMethod в пределах загруженой corJit , а так же сравнивает секцию кода с тем что на диске. Патчить все проверки было лень , поэтому хук поставил на выходе из либы CliSecure . Ну а дальше все тривиально , стучим во все методы которые видим , ловим их компиляцию , переписываем тела на то что словили.

| Сообщение посчитали полезным:

После ConfuserEx 0.5.0 реально восстановить имена методов или он их убивает безвозвратно?

| Сообщение посчитали полезным:

Tyrus
Имена обычно любой протектор убивает безвозвратно (кроме public api).

-----
старый пень

| Сообщение посчитали полезным: Tyrus

А что делать с таким чудом?
http://dropmefiles.com/O2k9b
В отладчик не грузится, последний ILProtect Unpacker крэшит, строки декодирует не полностью и распакованный файл не запускается - куда копать дальше?

| Сообщение посчитали полезным:

какой отладчик?

все прекрсно грузится и дебажиться
http://prntscr.com/dcv4p7

деобфускация - отдельная таска

| Сообщение посчитали полезным:

Таки, через dnSpy дебажится
Но все равно толку мало, все самое вкусное упрятано в динамические методы ILProtector - с этим как то бороться можно?

| Сообщение посчитали полезным:

вестимо - закодить солюшн
(dnlib и с песней пожизни

| Сообщение посчитали полезным:

Но как? Вообще по ним какие то внятные маны имеются?
А то я, к примеру, до сих пор не понял даже, как там во время отладки через watch значения локальных переменных смотреть и менять можно

| Сообщение посчитали полезным:

не путаем dnLib и dnSpy

_MBK_ пишет:
маны
внутри туча екзамплов

| Сообщение посчитали полезным:

Ребята подскажите пожалуйста чем накрыт этот dll файл
https://cloud.mail.ru/public/J4RC/NRc8yyrob

В программе если открыть то вот что только https://cloud.mail.ru/public/5GFx/Gins4V4sb

| Сообщение посчитали полезным:

На глаз: Ничем не накрыто, Import похерен/поврежден/изменен намеренно/не восстановлен.

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным:

fff66 пишет:
Ребята подскажите пожалуйста чем накрыт этот dll файл - это от unity библа похоже

| Сообщение посчитали полезным:

fff66
Кастом моно типа bytor либо что-то аналогичное кмк.

Больной лечится, но не просто, если в первый раз - нужно восстановить картину модификаций моно, сравнив оригинал моно и то что подсовывает прот в проект. Далее восстановить нормальный байткод вручную или накодив тулзы, либо править dnSpy\dnLib под модифицированный моно.

Сам этот прот видел мельком и не пробовал описанный сценарий, но действовал бы скорее всего по нему.

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

4kusNick
Доброе утро. Всех с наступающим!!!! За 3 дня мне все таки удалось его открыть открылся он только в ILspy пользовался оригинальным dll и хекс редактором ну и програмой для просмотра структуры длл файлов. Но открыться то он открылся но все методы в таком вот виде https://cloud.mail.ru/public/HmSy/QKwduZULG и https://cloud.mail.ru/public/2HjT/X7BoH6Ba6 В программе для просмотра структуры тоже все нормально есть все заголовки нет кракозябр и китайских символов но кракозябр куча только в разделе Tables

https://cloud.mail.ru/public/Jty8/cCR5MMekY Вот как их поправить? И что за Tables такой ?

Еще рядом с этим dll лежит вот такой dll https://cloud.mail.ru/public/CSaM/5CA1BHmcy Слыхал я про такое программу но что в этом dll ничего интересного не нашел я

Вот в архиве 2 файла https://cloud.mail.ru/public/K25a/jgEnUyMSX один это который я правил откроется только в IlSpu ну и второй что рядом был. Посмотрите вы пжл или кто небудь.

| Сообщение посчитали полезным:

fff66
ваш материал сам себя НЕ декодит, посему надо среду запуска...
очевидно что есть другая сборка(-и), что занимается декодингом етого полу-материала.

| Сообщение посчитали полезным:

sendersu
ПРиветствую подскажите пжл что за ошибка

Скрин https://cloud.mail.ru/public/6wTi/He1hFVKKg

Что за RVA адрес ? И что за 221b0008 это смещение ?

Вот сам файлик https://cloud.mail.ru/public/5eo9/i1BWf7b2T

| Сообщение посчитали полезным:

ето вопрос к разрабам .net reflector
очередная бага в его парсере, очевидно

и все же, какая у вас внешняя среда?

| Сообщение посчитали полезным:

Скорее всего это не баг рефлектора, а трюки со сборкой для защиты от декомпиляции. Движок рефлектора не сложно крашить.

| Сообщение посчитали полезным:

ilya0001
Я тоже согласен что дело не в нет рефлекторе. Можете что то посоветовать как его реанимировать этот длл?

| Сообщение посчитали полезным:

fff66
Вам уже задали верные вопросы.
Кривая dll не будет исполняться без пред-обработки перед передачей в моно, либо без искривления самого моно.

Смотрите на то как грузится эта dll, какие радом managed сборки и что они делают, какие в натив части вещи тоже смотрите.

В любом случае - либо dll изменяется перед передачей в моно, либо изменен сам моно.

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

кто нить сталкивался со зверем Potential Code Protector?
--> сабж <--

попалась одна жертва в руки. разобрал ВМ, но интересно запилить универсальный девиртуализатор.
однако разрабы пишут что каждый раз генерится уникальный код, вот интерестно посмотреть на сколько он уникален от сборки к сборке.

| Сообщение посчитали полезным:

kid пишет:
кто нить сталкивался со зверем Potential Code Protector? - хороший ценник у зверя.Дадут скачать trial глянем.

| Сообщение посчитали полезным: