Со времени создания топика много обсудили, во много м разобрались и много осталось за кадром. Решил подшить выкладываемый софт и линки

Инструменты:

dnSpy - бодрый декомпилятор и отладчик тут беты

Gray Wolf - DE-ObfuScatE / Edit IL(Live) / Add payloads / Edit attributes(public/privet) / Copy strong names signing on EXE/DLL
ReSharper 6.0 Build 2093 Pre-Release - Очень навороченый декомпилер, побробности --> ТУТ <--.
Рег-данные:

Reflector 8.3.3.115 - платный декомпилятор .NET 8.3.0.95 + (дополнение к нему)
Седьмая версия рефлектора - думаю все знают
Сборка Add-in'ов для Reflector - есть много полезных вещей
.Net ID 1.0.0.3 - определение защиты
DNiD by Rue - сигнатурный анализатор
Dotnet IL Editor (DILE)- Opensource дизассемблер и дебаггер
Xenocode Fox Code Analyzer- профайлер и дизассемблер
Reactor Decryptor 1.7 - что то декриптит, но что не понятно(с) zeppe1in
Simple Assembly Explor (SAE) - Assembler, Disassembler, Deobfuscator, IL editor and more...
DotNet Dumper 1.0 - Дампер .net'овских приложений. Подробное описание
Kurapica dotNET Tracer 1.1 - трейсер от известного автора инструментов для .net
ILSpy 1.0.0.481 - Opensource комбайн, на подобие SAE. Подробности тут
dotTrace Performance 4.0.665.4 - Неплохой трейсер для .Net приложений. Умеет делать трейсы не смешивая потоки как KDT. Умеет сравнивать трейсы двух запусков программы
Рег-данные:

Universal Fixer 1.0 - fix dumps after dumping them whit Dotnet Dumper or other similiar tools and will also fix nasty things: multiple assembly/module definitions, wrong extends, etc.
iMPROVE .NET Deobfuscator - деобфускатор


ConfuserDumper
ConfuserDelegateKiller
CodeCrackerTools: ConfuserMethodsDecryptor, ConfuserDelegateKiller, ConfuserStringDecryptor, MegaDumper, etc.

Статьи с хабры:
Защита .NET приложений - Субъективная теоретическая муть с хабры, выдаваемая за обзор обфускаторов(только для фанатов)
Как обмануть NET.Reflector - вот это уже годная статья, в которой рассматривается ручная обфускация в стихах и картинках
Взлом программ для чайников - ну не знаю...прописные истины, но приятно, что все это есть на русском языке и нормально оформлено
Реверс-инжиниринг обфусцированной сборки .NET - один только заголовок чего стоит. По сути статья информативная
Инъекции MSIL кода в стороннюю сборку при помощи Mono.Cecil. Реализация принципов АОП в NET
Избавление .NET программы от регистрации на примере BEM
Снимаем дамп объектов с памяти .Net приложения

Другое:
.NET Reflector v7.0.0.198 (C# Source by wangshy)
[url=http://lifeinhex.com/string-decryption-with-de4dot/]String decryption with de4dot[/url

-

Last edit: 2012-02-17, Links fixed. Jupiter]

| Сообщение посчитали полезным:

Styx пишет:
что надо сделать с исходной либой чтобы на ней не падал Mono.Cecil.
На это Medsft правильно пованговал..
Насчет конфига: не нужен.. Все происходит в AssemblyCopier.Core, Woodwork4Inventor.Common..
А дальше пользуетесь опцией "Анализировать" в dnSpy, и находите все вхождения по "Trial", "License" ..
Вроде все..

| Сообщение посчитали полезным:

кто-нибудь может поделиться более свежей версией .Net Reflector'a (9.0....), которая была бы совместима с Visual Studio 2015?
Может я плохо искал, но тут не нашел...

Заранее благодарю.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Попробуй эту -->NET.Reflector.v9.0.1.374 <--

| Сообщение посчитали полезным: plutos

VOLKOFF пишет:
Попробуй эту -->NET.Reflector.v9.0.1.374 <--

Access to the file is restricted ???

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

.NET Reflector v9.0.1.374 - перейти, скачать, регистрация - любым старым кейгеном.

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным: plutos

plutos пишет:
Access to the file is restricted
Ого, быстро они забанили файл, не стал заморачиваться с переименованием и шифровать имена файлов в архиве, думал денек хоть проживет... а зря.
Хозяйке на заметку

| Сообщение посчитали полезным:

plutos пишет:
кто-нибудь может поделиться более свежей версией .Net Reflector'a (9.0....)
на офсайте предлагают 9.0.2
кг старой

| Сообщение посчитали полезным: plutos, igorcauret

Киньтесь директлинком, не вижу почему-то 9.0.2, со страницы загрузки качается 9.0.1.374

| Сообщение посчитали полезным:

_ttp://download.red-gate.com/EAP/NETReflectorDesktop/NETReflectorDesktop_9.0.2.609.exe

-----
ds

| Сообщение посчитали полезным: sefkrd, VOLKOFF, zNob, plutos, igorcauret

Здравствуйте.
у меня такой вопрос после снятия защиты при помощи de4dot в некоторых методах содержатся ошибки.
при просмотре исходного кода в dnspy необходимо убрать строку
{
if (Class2.smethod_10(1460))
при изменении инструкции IL нет строки Class2.smethod_10
как можно решить данную проблему?

| Сообщение посчитали полезным:

Подскажите, есть ли какой-нибудь патчер заточенный под .net-приложения?
Что нужно: берем exe или dll на .net, правим одну или несколько строк кода в Reflector, dnSpy или подобных приложениях, далее создается патч на основе оригинальной и правленной копии. Далее этот патч (автономный) можно использовать на новых версиях exe/dll. Т.е. патчер должен по идее декомпилировать код, найти место для правки, подправить и сохранить обратно файл. Требуемый код не обфусцирован.
Т.е. к примеру в коде dll в одном из процедур есть строка:

Правим его на

Далее автономный патчер должен самостоятельно править таким образом код в новых версиях dll (при условии что имя функции и ее код в новых версиях не изменяются), чтобы не вносить правки вручную.
Бывает что надо одну строку кода поправить, бывает и несколько, иногда и более серьезно поправить, со вставкой нового кода в функцию.
Существует ли подобный патчер в природе?
Проблема в том что после сохранения правленного файла он сильно отличается от оригинала. Обычно даже длина файле короче.
Если перед внесением правки просто пересохранить оригинальный файл, потом внести правку в код и сохранить уже правленный - длина файла совпадает, но в них отличается много байт.
NET patcher v0.7 не подходит под задачу. Или пишет "Files length is not equal. Operation aborted." (если использовать оригинальный файл) или виснет при сравнении файлов (если использовать пересохраненный оригинальный файл).
Или может есть какой-то плагин/мод dnSpy который после загрузки в него требуемой dll внесет необходимые правки и сохранит файл?

| Сообщение посчитали полезным:

правьте с помощью ByteMe,затем делайте патч в DUP

| Сообщение посчитали полезным: Haoose-GP

igorcauret
Спасибо. Мне CyberGod утром уже скинул эту тулзу. Да, думаю это поможет для небольших правок.

| Сообщение посчитали полезным:

hi guys
plz i need these tools
MultiPeDumper by COB v0.31
https://exelab.ru/f/action=vthread&forum=1&topic=16650&page=39#8
/
Модифицировал немного de4dot, теперь он поддерживает последнюю версию .NET Reactor (4.9.7.0)
https://exelab.ru/f/action=vthread&forum=1&topic=16650&page=36#17


| Сообщение посчитали полезным:

B0u3z1z1 пишет:
plz i need these tools
MultiPeDumper by COB v0.31
You are very lazy ;)
Just google "MultiPeDumper by COB" - https://www.solidfiles.com/folder/d8b80d8204/

| Сообщение посчитали полезным: B0u3z1z1

RevCred
thanks bro ;)

| Сообщение посчитали полезным:

У кого-нибудь осталась версия этотого De4Dot'а что с поддержкой реактора 4.9.7.0 ?

| Сообщение посчитали полезным:

Залил все версии, которые нашёл у себя:

de4dot 3.1.41592 .NET Reactor 4.9 mod
de4dot 3.1.41592 fixed by IvancitoOz
de4dot 3.1.41592 Support Reactor 5.0-wuhensoft
de4dot 070217

https://yadi.sk/d/gGwBxiNa3M8w3F (если не распаковывается, то нужно обновить архиватор, сжато последней версией 7-zip). Лежать будет долго, если есть ещё какие-то версии - кидайте, добавлю.

| Сообщение посчитали полезным: 4kusNick, denis765600, B0u3z1z1, Jim DiGriz

Закину сюда свою коллекцию, извини не успел отсортировать, то что сегодня твоё добавил.
Собрал все что есть, и Гуиш'ки и сорцы к ним. Все что в папке ок, там в квадратных скобках хэши ехешников (первые скобки - х32, вторые - х64).
Перешерстил весь форум и весь тырнет, все версии вроде собрал, но на написание общей гуишки для всего пакета разных версиий времени не хватает, так что скидываю все так, как в коллекции лежит.
Самый гемор было найти компиляцию от као, а студию ставить не хотелось, пришлось =(
Только потом уже нашел её компиленную.











В скоре, после сортировки всего найденного добра попрошу админа обновить первый пост, так, как почти все есть, кроме сорцев .NET Reflector v7.0.0.198 (C# Source by wangshy), понятно что раритет, но нужно чтоб было =)
ВНИМАНИЕ, за все то что в архиве - ответственности не несу, все на Ваш страх и риск !

https://mega.nz/#!nUsGmKiC!TcpgnQ8axbLeAg8ohmc8iNeBY65KD206lds5tadQ5WI

У кого есть другие моды, выкладывайте, я буду очень признателен и добавлю в общую коллекцию
Всем удачи.

| Сообщение посчитали полезным: zNob, B0u3z1z1, Dart Raiden, EHS4N

Who owns these tools






| Сообщение посчитали полезным:

B0u3z1z1, так выложили бы. а то только скрины

| Сообщение посчитали полезным:

denis765600
Мне нужны эти инструменты

| Сообщение посчитали полезным:

denis765600 пишет:
так, как почти все есть, кроме сорцев .NET Reflector v7.0.0.198 (C# Source by wangshy), понятно что раритет, но нужно чтоб было =)


получите - распишитесь

https://www.sendspace.com/file/drvuwj

| Сообщение посчитали полезным:

[!] Crypto Obfuscator for .NET v5.x detected !
Не самый популярный протектор, но вот сегодня наткнулся на него. И на удивление de4dot не смог полностью распаковать бинари. Пример в аттаче. Подскажите, файл запакован только данным протектором или там снизу ещё что-то навешано?
Проблема в куче Delegate функций которые остались после деобфускации. Если я правильно понимаю, это функции, автоматически расшифровываемые в память во время их вызова. Поправьте, если не прав

b49b_01.09.2017_EXELAB.rU.tgz - Example.rar

-----
Research For Food

| Сообщение посчитали полезным:

daFix пишет:
И на удивление de4dot не смог полностью распаковать бинари
Да вроде распаковал..
Навешен только: "Detected Crypto Obfuscator"..
daFix пишет:
расшифровываемые в память
(бегло)Каждый делегат генерирует IL код.. Че с ним делает - ХЗ..

| Сообщение посчитали полезным:

sefkrd
Полагаю, до защиты там не было delegate функций. Вот как бы до исходного состояния распаковать? Возможно за кеш

-----
Research For Food

| Сообщение посчитали полезным:

daFix пишет:
до защиты там не было delegate функций
Да, скорее всего так..
Я особо с Crypto Obfuscator тоже не возился.. Можно попробовать сборку накодить и скормить её триальному Crypto Obfuscator-у.. И уже ковырять, делать анализ, как до исходного состояния распаковать..

Сабж был распакован de4dot_v.3.1.41592.3405 [IvancitoOz] [Crypto,Phoenix,Reactor,OrangeHeap] ссылка выше..
бит в бит с Mishar_Hacker

| Сообщение посчитали полезным: daFix, Jim DiGriz

daFix
Все что смог сделать

38cf_02.09.2017_EXELAB.rU.tgz - Cobeco.CcCombinedAccounting.Core-cleaned[PC_RET_Mod].rar

| Сообщение посчитали полезным: daFix

О, парни, спасибо! Вроде норм распаковывает. Остался один момент - при распаковке всей папки я получаю такую ошибку на многих файлах:
Что в таких случаях делать?

-----
Research For Food

| Сообщение посчитали полезным:

У тебя *.dll, *.exe одни 32-bit а другие 64-bit.. Исключи одни из них, убери на время распаковки..

| Сообщение посчитали полезным: