Со времени создания топика много обсудили, во много м разобрались и много осталось за кадром. Решил подшить выкладываемый софт и линки

Инструменты:

dnSpy - бодрый декомпилятор и отладчик тут беты

Gray Wolf - DE-ObfuScatE / Edit IL(Live) / Add payloads / Edit attributes(public/privet) / Copy strong names signing on EXE/DLL
ReSharper 6.0 Build 2093 Pre-Release - Очень навороченый декомпилер, побробности --> ТУТ <--.
Рег-данные:

Reflector 8.3.3.115 - платный декомпилятор .NET 8.3.0.95 + (дополнение к нему)
Седьмая версия рефлектора - думаю все знают
Сборка Add-in'ов для Reflector - есть много полезных вещей
.Net ID 1.0.0.3 - определение защиты
DNiD by Rue - сигнатурный анализатор
Dotnet IL Editor (DILE)- Opensource дизассемблер и дебаггер
Xenocode Fox Code Analyzer- профайлер и дизассемблер
Reactor Decryptor 1.7 - что то декриптит, но что не понятно(с) zeppe1in
Simple Assembly Explor (SAE) - Assembler, Disassembler, Deobfuscator, IL editor and more...
DotNet Dumper 1.0 - Дампер .net'овских приложений. Подробное описание
Kurapica dotNET Tracer 1.1 - трейсер от известного автора инструментов для .net
ILSpy 1.0.0.481 - Opensource комбайн, на подобие SAE. Подробности тут
dotTrace Performance 4.0.665.4 - Неплохой трейсер для .Net приложений. Умеет делать трейсы не смешивая потоки как KDT. Умеет сравнивать трейсы двух запусков программы
Рег-данные:

Universal Fixer 1.0 - fix dumps after dumping them whit Dotnet Dumper or other similiar tools and will also fix nasty things: multiple assembly/module definitions, wrong extends, etc.
iMPROVE .NET Deobfuscator - деобфускатор


ConfuserDumper
ConfuserDelegateKiller
CodeCrackerTools: ConfuserMethodsDecryptor, ConfuserDelegateKiller, ConfuserStringDecryptor, MegaDumper, etc.

Статьи с хабры:
Защита .NET приложений - Субъективная теоретическая муть с хабры, выдаваемая за обзор обфускаторов(только для фанатов)
Как обмануть NET.Reflector - вот это уже годная статья, в которой рассматривается ручная обфускация в стихах и картинках
Взлом программ для чайников - ну не знаю...прописные истины, но приятно, что все это есть на русском языке и нормально оформлено
Реверс-инжиниринг обфусцированной сборки .NET - один только заголовок чего стоит. По сути статья информативная
Инъекции MSIL кода в стороннюю сборку при помощи Mono.Cecil. Реализация принципов АОП в NET
Избавление .NET программы от регистрации на примере BEM
Снимаем дамп объектов с памяти .Net приложения

Другое:
.NET Reflector v7.0.0.198 (C# Source by wangshy)
[url=http://lifeinhex.com/string-decryption-with-de4dot/]String decryption with de4dot[/url

-

Last edit: 2012-02-17, Links fixed. Jupiter]

| Сообщение посчитали полезным:

Есть у кого не будь эта программа?
.Net ID 1.0.0.3 - определение защиты
Выложите пожалуйста а то в шапке ссылка не на программу ведет.

| Сообщение посчитали полезным:

sss123
DotNet Id v1.0.0.3

| Сообщение посчитали полезным:

sss123
--> Link <--

| Сообщение посчитали полезным:

Haoose-GP
Это не то

Добавлено спустя 15 минут
Haoose-GP
zNob
Вот что я искал http://pid.gamecopyworld.com/

Спасибо -=AkaBOSS=-

| Сообщение посчитали полезным:

Всем привет кто не будь может мне обьяснить как в dll файле найти класс или метод который запускает игру или программу? По каким словам искать?

| Сообщение посчитали полезным:

Process.Start
Application.Run

| Сообщение посчитали полезным:

Всем привет может кто подсказать прогу для реконструкции ресурсов в dll ?

| Сообщение посчитали полезным:

Что менять собрались?..
Resource Hacker?

| Сообщение посчитали полезным:

sefkrd
Не так немного написал интересует вопрос возможно ли секции в длл файле прописать по другому адресу?

Просто если сравнить модифицированый длл и и оригинал из одной и той же проги то секции совсем по разным адресам находятся и имеют разные значения
Скрин https://cloud.mail.ru/public/CuZy/QeyN3c2fX

И вот эти разные адреса или значение или присутствие другой секции может ли влиять на то что длл файл не открывается в декомпиляторе? А прога работает.

| Сообщение посчитали полезным:

sss123 пишет:
длл файл не открывается в декомпиляторе?
Чем делаете декомпиляцию?
sss123 пишет:
А прога работает.
Может игра, а не прога?.

| Сообщение посчитали полезным:

sefkrd
Пробовал через 3 декомпилятора ( ILSpy DnSpy и нет рефректор )
Да если важно то игра это.

интересует вопрос возможно ли секции в длл файле прописать по другому адресу?

И вот эти разные адреса или значение или присутствие другой секции может ли влиять на то что длл файл не открывается в декомпиляторе?

| Сообщение посчитали полезным:

Да, вы можете не увидеть декомпилированный код в ILSpy DnSpy и нет рефректор, прога(игра) может работать до того кода, который вы изменили-добавили(скорее всего) в сборку(dll).. Потом поймаете эксэпшн..
Вы не пишете всего..
sss123 пишет:
секции в длл файле прописать по другому адресу?
Нафик?

| Сообщение посчитали полезным: sss123

Да, вы можете не увидеть декомпилированный код в ILSpy DnSpy и нет рефректор,

Да нет в оригинальной длл все видно даже через ILSpy а в моде эта длл даже не открывается в декомпиляторе Игра одна и таже версия тоже таже.

секции в длл файле прописать по другому адресу?
Нафик?

Ну я просто пытаюсь понять как убили длл что он не открывается в декомпиляторе. Какой то обфускатор или протектор или вручную ?

Поэтому и спрашиваю
интересует вопрос возможно ли секции в длл файле прописать по другому адресу?

И вот эти разные адреса или значение или присутствие другой секции может ли влиять на то что длл файл не открывается в декомпиляторе?

| Сообщение посчитали полезным:

Исходя из ваших ответов - такие вопросы задавать нужно в другом топе: Вопросы новичков..
З.Ы.
sss123 пишет:
Ну я просто пытаюсь понять как убили длл что он не открывается в декомпиляторе. Какой то обфускатор или протектор или вручную ?

Поэтому и спрашиваю
интересует вопрос возможно ли секции в длл файле прописать по другому адресу?
Что-то тут..

| Сообщение посчитали полезным:

-----
Crack your mind, save the planet

| Сообщение посчитали полезным:

В ILspector`e открывать пробовал?
return true это 17 ldci4.1 если на false менять это 16
Вообще странный кусок кода ты выложил: нахрена нужна такая bool которая всегда true и сеттера нету

Это от чего это такая интересная xml? ))))))

| Сообщение посчитали полезным:

Medsft пишет:
Это от чего это такая интересная xml? ))))))

Это оно из ресурсов достает и потом логика прота на этом работает

Medsft пишет:
return true это 17 ldci4.1 если на false менять это 16

В том и дело, что я так делал. Но это вообще не работает. Т.е. dnSpy показывает false после патча, а if в котором это вызывается работает как будто true вернулся. Вывод я могу только один сделать, это не тот метод. Мб он как-то в рантайме патчится?

-----
Crack your mind, save the planet

| Сообщение посчитали полезным:

Styx пишет:
должно хватать для запуска
Не хватает..
Styx пишет:
Т.е. dnSpy показывает false после патча, а if в котором это вызывается работает как будто false вернулся.
dnSpy на лету не будет работать с измененной сборкой, его придется перезапустить..

| Сообщение посчитали полезным:

sefkrd пишет:
Не хватает..
могу по-подбирать нужные либы

Перезапускал. Патчил не в нем.

В личке мне уже помогли, спасибо этому человеку (: но детали остались в секрете, может кто-то что-то путное расскажет, как с этим бороться.

-----
Crack your mind, save the planet

| Сообщение посчитали полезным:

А как решили-то?
Мне для запуска нужна Caliburn.Micro.Platform

| Сообщение посчитали полезным:

Styx пишет:
он как-то в рантайме патчится защитой? это фантастика

Styx пишет:
скачал с оффсайта, а там только 1-н бинарь, что на счет AddPack? там есть инсталлер ищи лучше

| Сообщение посчитали полезным: Styx

sefkrd пишет:
А как решили-то?
Мне для запуска нужна Caliburn.Micro.Platform

Я не знаю как решили (: мб приват какой-то.

Что могло бы это значить? Как раз злополучный get_IsTrial который я "пропатчил" в этом списке.




Medsft пишет:
плохо пропатчил

Это не после моего патча, а уже пофикшенная либа из лички, на которую я решил еще деобф. из SAE натравить. И это его лог.

-----
Crack your mind, save the planet

| Сообщение посчитали полезным:

плохо пропатчил

| Сообщение посчитали полезным:

Я раньше писал, что reactor последних версий после деобфускации не работает: конфликт в именах свойств, методов, etc..
Нужно патчить нативно, без снятия протекта..
З.Ы. качаю авто деск.. Бабское любопатство..

А можно скрин запуска проги без всего, как ругается?

| Сообщение посчитали полезным:

sefkrd пишет:
конфликт в именах свойств, методов, etc.. что мешает отключить переименование?
Styx пишет:
SAE натравить - SAE хорош и даже его движок деоба встроен в ILSpector но это не тот случай

Добавлено спустя 3 минуты
Если ты хочешь поизучать что тебе в личке сделали? то опция assembly comparer тебе в руки

| Сообщение посчитали полезным:

Ничего не мешает, зачем тогда вообще деобфусцировать..

| Сообщение посчитали полезным:

Medsft пишет:
Если ты хочешь поизучать что тебе в личке сделали? то опция assembly comparer тебе в руки
думаю не поможет, там уже деобфускация сделана и разница в размере в 160кб.

-----
Crack your mind, save the planet

| Сообщение посчитали полезным:

ааа) заломали и спрятали что сломали)) Тут я пас коллег по цеху не деобфусцирую принципиально)

| Сообщение посчитали полезным:

Medsft пишет:
ааа) заломали и спрятали что сломали)) Тут я пас коллег по цеху не деобфусцирую принципиально)
Не, у меня есть либа деобфусцированная сегодня человеком с форума. И оригинал, который у меня был изначально из офф. сборки. Я бы просто хотел понять, что надо сделать с исходной либой чтобы на ней не падал Mono.Cecil.

И вот еще на счет конфига интересно. Кто-нибудь с ним работал вообще? Есть смысл его патчить?

-----
Crack your mind, save the planet

| Сообщение посчитали полезным:

повангую
для Реактора есть 3 принципиальных инструмента для деобфускации (если конечно это реактор, а то PC-RET научил тут некоторых фейковые аттрибуты вставлять))). Продолжаю:
- MegaDumper от Codecracker`a
- Universal Fixer от него же
- и модифицированный дед которого в модификации для реактора в инете множество. (cmd: de4dot --dont-rename target.exe)
Различные варианты последовательности применения данных инструментов дают в 99% положительный результат.

| Сообщение посчитали полезным: