Со времени создания топика много обсудили, во много м разобрались и много осталось за кадром. Решил подшить выкладываемый софт и линки

Инструменты:

dnSpy - бодрый декомпилятор и отладчик тут беты

Gray Wolf - DE-ObfuScatE / Edit IL(Live) / Add payloads / Edit attributes(public/privet) / Copy strong names signing on EXE/DLL
ReSharper 6.0 Build 2093 Pre-Release - Очень навороченый декомпилер, побробности --> ТУТ <--.
Рег-данные:

Reflector 8.3.3.115 - платный декомпилятор .NET 8.3.0.95 + (дополнение к нему)
Седьмая версия рефлектора - думаю все знают
Сборка Add-in'ов для Reflector - есть много полезных вещей
.Net ID 1.0.0.3 - определение защиты
DNiD by Rue - сигнатурный анализатор
Dotnet IL Editor (DILE)- Opensource дизассемблер и дебаггер
Xenocode Fox Code Analyzer- профайлер и дизассемблер
Reactor Decryptor 1.7 - что то декриптит, но что не понятно(с) zeppe1in
Simple Assembly Explor (SAE) - Assembler, Disassembler, Deobfuscator, IL editor and more...
DotNet Dumper 1.0 - Дампер .net'овских приложений. Подробное описание
Kurapica dotNET Tracer 1.1 - трейсер от известного автора инструментов для .net
ILSpy 1.0.0.481 - Opensource комбайн, на подобие SAE. Подробности тут
dotTrace Performance 4.0.665.4 - Неплохой трейсер для .Net приложений. Умеет делать трейсы не смешивая потоки как KDT. Умеет сравнивать трейсы двух запусков программы
Рег-данные:

Universal Fixer 1.0 - fix dumps after dumping them whit Dotnet Dumper or other similiar tools and will also fix nasty things: multiple assembly/module definitions, wrong extends, etc.
iMPROVE .NET Deobfuscator - деобфускатор


ConfuserDumper
ConfuserDelegateKiller
CodeCrackerTools: ConfuserMethodsDecryptor, ConfuserDelegateKiller, ConfuserStringDecryptor, MegaDumper, etc.

Статьи с хабры:
Защита .NET приложений - Субъективная теоретическая муть с хабры, выдаваемая за обзор обфускаторов(только для фанатов)
Как обмануть NET.Reflector - вот это уже годная статья, в которой рассматривается ручная обфускация в стихах и картинках
Взлом программ для чайников - ну не знаю...прописные истины, но приятно, что все это есть на русском языке и нормально оформлено
Реверс-инжиниринг обфусцированной сборки .NET - один только заголовок чего стоит. По сути статья информативная
Инъекции MSIL кода в стороннюю сборку при помощи Mono.Cecil. Реализация принципов АОП в NET
Избавление .NET программы от регистрации на примере BEM
Снимаем дамп объектов с памяти .Net приложения

Другое:
.NET Reflector v7.0.0.198 (C# Source by wangshy)
[url=http://lifeinhex.com/string-decryption-with-de4dot/]String decryption with de4dot[/url

-

Last edit: 2012-02-17, Links fixed. Jupiter]

| Сообщение посчитали полезным:

daFix пишет:
contains XAML which isn't supported. Use --dont-rename.

тут все четко и по делу написано
некоторые обфускаторы меняют имена не только в коде, но и в xaml ресурсе (GUI), а дедот итого никогда не делал и не умел (ибо формат ентот MS проприетарит...)
повезет если xaml есть, но обфускатор в него не лезет

ну и 2ую ошибку вроде ясно написано...

| Сообщение посчитали полезным: daFix

sendersu, sefkrd не, у меня все файлы 32 бита, поэтому суть ошибки для меня так и осталась не ясна

-----
Research For Food

| Сообщение посчитали полезным:

daFix пишет:
все файлы 32 бита
Не обязательно.. Возможно, во время написания этих dll, участвовал не один прогер(скорее всего..)
И у одного в IDE при компиляции стоял приоритет делать запуск в x64 режиме, у другого в x86..

Предпологаю, что в папке Module1 не мало одинаковых.dll как в папке Module2..
Я в таких случаях, когда +100500 dll, убираю в сторону дубликаты(на кого рычит de4dot), делаю -r -ro, и наоборот..

| Сообщение посчитали полезным:

sefkrd
Так-с... Сначала пытался деобфусцировать папку с подпапками, но потом дошло что это излишне. EXE работает только с библиотеками из своей папки. Попробовал натравить на каждую папку по отдельности и вроде норм. Но остался не деобфусцированный код. Подозреваю, что всё дело теперь в XAML

-----
Research For Food

| Сообщение посчитали полезным:

daFix пишет:
Но остался не деобфусцированный код
Где? В ресурсах наверное..?

| Сообщение посчитали полезным:

Подскажите пожалуйста
есть dll dotNet (dll1). Нужно ее пропатчить так чтобы подгружалась нативная dll (ddl2).
Пытался добавить ddl2 изменив импорт ddl1 через CFFE, но после этого приложение крашится.
Как можно попроще это сделать?
или только через

впихнув его в какой-нибудь вызываемый метод dll1?

| Сообщение посчитали полезным:

zds
дотнет+импорт будет крашиться. механизмы не исследовал. дотнет и OEP не обрабатывает так-то, к слову

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным: zds

смотрел кто нибудь? https://exelab.ru/f/action=vthread&forum=2&topic=24716&page=4#19
Интересует расшифровка строк, не въеду пока как ее в реализовать.

| Сообщение посчитали полезным:

Medsft
Смотрел..
Medsft пишет:
Интересует расшифровка строк
Каких?

| Сообщение посчитали полезным:

sefkrd пишет:
Каких? всех )) и не сам текст а техника расшифровки

| Сообщение посчитали полезным:

dnlib ведь..
Или не..?

| Сообщение посчитали полезным:

sefkrd пишет:
Или не..? - короче спрошу. смог получить exeшник с открытыми стрингами?

| Сообщение посчитали полезным:

Medsft
Да сможешь
Вот функция --> Link <--
Можешь на нее ставить BP и смотреть что куда выдает, а можно взять dnlib
И самому написать расшифровщик

| Сообщение посчитали полезным: sefkrd

Нет...
Вроде Class36 занимается этим..
Похоже сами писали..

Добавлено спустя 2 минуты
Mishar_Hacker
Правильно увидел!

| Сообщение посчитали полезным:

Mishar_Hacker пишет:
а можно взять dnlib
И самому написать расшифровщик воо в самую тему попал ... )) ... ты мне подскажи с какого боку зайти, но хотелось бы добавить что там динамик распаковка стрингов пока не юзнули хрен прочитаешь, а юзнуть простым вызовом того что ты нашел не получается))) (получится "X0X") Вообще попробуй остановится где нибудь тут http://prntscr.com/ghu6y5 и в голове прояснится

Нее согласен что особой сложности там нет) не пойму просто на что в reflection там завязан key в словаре..

| Сообщение посчитали полезным:

Medsft
Брешь dnlib вызываешь все методы с int числами и получаешь свои строки
В лс напиши контакты подумаем

| Сообщение посчитали полезным:

Mishar_Hacker - ))) тыж даже не пробовал ))) Писать тебе похоже лень код, чтоб удостоверится тогда погляди на эту картинку http://prntscr.com/ghunct получишь выхлоп

| Сообщение посчитали полезным:

Medsft
Через de4dot я побывал делать там не получается
а то что мне лень писать код, тут я согласен, но я думаю если ты шаришь тебе не будет сложно это сделать

| Сообщение посчитали полезным:

Mishar_Hacker пишет:
но я думаю если ты шаришь тебе не будет сложно это сделать
Образцовый халявщик )

-----
EnJoy!

| Сообщение посчитали полезным: Medsft

Есть еще кто смотрел эту сборку?

| Сообщение посчитали полезным:

Medsft пишет:
Есть еще кто смотрел эту сборку?
Ты про Trinus PSVR?

-----
EnJoy!

| Сообщение посчитали полезным:

Jupiter пишет:
Ты про Trinus PSVR? да о нем. Это конечно кастом, алгоритм интересен защит строк. В реакторе последнем встречается часть данной техники где из stacktrace вытаскивается имя метода содержащее полезную нагрузку а тут от имени не зависит

| Сообщение посчитали полезным:

Medsft
По stacktrace там проверка откуда был вызван метод расшифровки строки, не более. Нужно патчить либо саму проверку внутри файла, либо модифицировать de4dot для новой версии eazfuscator.

Почищенный файл, если нужно - http://rgho.st/6Bv24ByKS

| Сообщение посчитали полезным: Medsft, sefkrd

SHADOW785
Один вопрос: с чего сформировался вывод что это новый EAZ? (не вижу явных индентификаторов)
Если это не кастом dedot допилю

Добавлено спустя 33 минуты
SHADOW785 спс ))) смог повторить, работает)
http://prntscr.com/gijpxq

Добавлено спустя 35 минут
Medsft пишет:
Если это не кастом dedot допилю а с другой стороны зачем? у меня к нему неоднозначное отношение)))

| Сообщение посчитали полезным:

Medsft
dedot допилил..?

| Сообщение посчитали полезным:

sefkrd пишет:
dedot допилил..? пока чисто патчем решил проверку stacktrace обойти, жду ответа не буду же я для кастома который один раз в жизни встретился dedot допиливать

| Сообщение посчитали полезным:

Medsft
Я работал с этим обфускатором просто, так что знаю о чем говорю. В принципе, можешь скачать с официального сайта последнюю версию Eazfuscator, накрыть любую сборку для теста и увидишь тот же код.

| Сообщение посчитали полезным:

Подскажите пожалуйста как можно найти адрес скомпилированной системной функции SAPKCS1SignatureDeformatter.VerifySignature ?
Хочу через лоадер пропатчить, чтобы был всегда положительный ответ.
Пробовал через хук на getJit и подменой на свою функцию, но через нее отлавливаю только методы самой програмы, системных методов нет.
или это не правильный подход? и нужно патчить методы в самой програме? просто их несколько и хотелось бы пропатчить только один VerifySignature, чтобы была универсальность.

| Сообщение посчитали полезным:

zds пишет:
Подскажите пожалуйста как можно ...... пропатчить...... системную функцию
Аналогии проводить умеешь?


| Сообщение посчитали полезным: DenCoder, zds

Топик закрыт. Продолжение здесь https://exelab.ru/f/action=vthread&forum=1&topic=24863

| Сообщение посчитали полезным: