Со времени создания топика много обсудили, во много м разобрались и много осталось за кадром. Решил подшить выкладываемый софт и линки

Инструменты:

dnSpy - бодрый декомпилятор и отладчик тут беты

Gray Wolf - DE-ObfuScatE / Edit IL(Live) / Add payloads / Edit attributes(public/privet) / Copy strong names signing on EXE/DLL
ReSharper 6.0 Build 2093 Pre-Release - Очень навороченый декомпилер, побробности --> ТУТ <--.
Рег-данные:

Reflector 8.3.3.115 - платный декомпилятор .NET 8.3.0.95 + (дополнение к нему)
Седьмая версия рефлектора - думаю все знают
Сборка Add-in'ов для Reflector - есть много полезных вещей
.Net ID 1.0.0.3 - определение защиты
DNiD by Rue - сигнатурный анализатор
Dotnet IL Editor (DILE)- Opensource дизассемблер и дебаггер
Xenocode Fox Code Analyzer- профайлер и дизассемблер
Reactor Decryptor 1.7 - что то декриптит, но что не понятно(с) zeppe1in
Simple Assembly Explor (SAE) - Assembler, Disassembler, Deobfuscator, IL editor and more...
DotNet Dumper 1.0 - Дампер .net'овских приложений. Подробное описание
Kurapica dotNET Tracer 1.1 - трейсер от известного автора инструментов для .net
ILSpy 1.0.0.481 - Opensource комбайн, на подобие SAE. Подробности тут
dotTrace Performance 4.0.665.4 - Неплохой трейсер для .Net приложений. Умеет делать трейсы не смешивая потоки как KDT. Умеет сравнивать трейсы двух запусков программы
Рег-данные:

Universal Fixer 1.0 - fix dumps after dumping them whit Dotnet Dumper or other similiar tools and will also fix nasty things: multiple assembly/module definitions, wrong extends, etc.
iMPROVE .NET Deobfuscator - деобфускатор


ConfuserDumper
ConfuserDelegateKiller
CodeCrackerTools: ConfuserMethodsDecryptor, ConfuserDelegateKiller, ConfuserStringDecryptor, MegaDumper, etc.

Статьи с хабры:
Защита .NET приложений - Субъективная теоретическая муть с хабры, выдаваемая за обзор обфускаторов(только для фанатов)
Как обмануть NET.Reflector - вот это уже годная статья, в которой рассматривается ручная обфускация в стихах и картинках
Взлом программ для чайников - ну не знаю...прописные истины, но приятно, что все это есть на русском языке и нормально оформлено
Реверс-инжиниринг обфусцированной сборки .NET - один только заголовок чего стоит. По сути статья информативная
Инъекции MSIL кода в стороннюю сборку при помощи Mono.Cecil. Реализация принципов АОП в NET
Избавление .NET программы от регистрации на примере BEM
Снимаем дамп объектов с памяти .Net приложения

Другое:
.NET Reflector v7.0.0.198 (C# Source by wangshy)
[url=http://lifeinhex.com/string-decryption-with-de4dot/]String decryption with de4dot[/url

-

Last edit: 2012-02-17, Links fixed. Jupiter]

| Сообщение посчитали полезным:

DumbAssembly

DumbAssembly is an automatic unpacker for the RedGate SmartAssembly .NET protector. It supports versions of SmartAssembly up to 6.1 and removes the following protections:
* Code flow obfuscation
* Import obfuscation
* String encryption
* Resource encryption
* Assembly embedding and encryption
* Tamper detection

If the input assembly was signed, the unpacked assembly is automatically re-signed with a randomly generated (or manually specified) strong name key pair.

The archive contains binaries and the complete source code.

--> Link <--

| Сообщение посчитали полезным: mak326428

.NET Reflector v7.3.0.18 Cracked By JeRRy/SnD

комплект:
http://www.multiupload.com/FJ7GX3E0QO
http://megaupper.com/files/XJJTXQHP/Reflector_v_7.3.0.18_Cracked_By_JeRRy__SND_.7z
http://rghost.ru/14835811

| Сообщение посчитали полезным: Fruit

zeppe1in, а можно попродробней =)

| Сообщение посчитали полезным:

mak326428
про CodeVeil я так понял.
технология JIT Hook изложена тут http://www.ntcore.com/files/netint_injection.htm
по ней и работает CodeVeil.

-----
zzz

| Сообщение посчитали полезным: mak326428

DNiD v1.0

http://exelab.ru/f/action=vthread&forum=3&topic=17542
(спс 2 ВАНЕК)

| Сообщение посчитали полезным:

sendersu уже давно есть версия 1.0 -> http://exelab.ru/f/action=vthread&forum=3&topic=17542

| Сообщение посчитали полезным:

Исходник {SmartAssembly}
Ошибки не исправлял, думаю так пойдёт)
http://rghost.ru/15911391

| Сообщение посчитали полезным:

zeppe1in, а нет ли распаковщиков под этот обфускатор?

| Сообщение посчитали полезным:

Нашёл руководство по анпакингу CodeVeil 1.2.x!
Если кому то надо, то here you are.



fe1f_29.07.2011_EXELAB.rU.tgz - Unpacking CodeVeil v1.2.x & cracking XHEO Licensing.doc

| Сообщение посчитали полезным:

Universal Fixer

fix dumps after dumping them whit Dotnet Dumper or other similiar tools
and will also fix nasty things: multiple assembly/module definitions, wrong extends, etc.

Changes:
- DragNDrop support
- Ability to fix Import Table

P.S.
интересно, почему автор до сих пор версию не поменял

c7ba_03.08.2011_EXELAB.rU.tgz - Universal_Fixer.zip

| Сообщение посчитали полезным:

Выложите, плз, Reactor Decryptor?
(линк в шапке протух)

| Сообщение посчитали полезным:

soho пишет:
Выложите, плз, Reactor Decryptor


16e6_05.08.2011_EXELAB.rU.tgz - Reactor_Decryptor.zip

| Сообщение посчитали полезным: soho, secmask

Сегодня распаковывал Crypto Obfuscator
Доставал ресурсы. Достал.
Просто, если кому надо: сначала прокрутить SAE, потом найти метод c ResolveEventArgs в параметрах. Создать консольное приложение (будет распаковщик). Этот метод скопипастить. Потом найти ещё метод с return type равному byte[], класс с этим метод полностью скопипастить в наше приложение. Изменить Assembly.GetExecutingAsSembly() на Assembly.Load("полнуть путь к файлу") в обоих функицях. Потом то, что эта функция (которая возращает массив байтов), эти байты File.WriteAllBytes. Создаётся сборка. Смотрим в рефлекторе. В ней только ресурсы. Вуаля, просто их сохраняем.

| Сообщение посчитали полезным: sendersu

Так у кого нибудь есть автоматический анпакер для CodeVeil? Ресурсы я уже понял как вынуть, а вот сам код..

| Сообщение посчитали полезным:

PM me the target, mak326428.

| Сообщение посчитали полезным:

- dumping bug fixed;
- Added ".NET" column which will tell if a process is .NET or not

2eaf_21.08.2011_EXELAB.rU.tgz - DotnetDumper.exe

| Сообщение посчитали полезным:

тоже чота намутил

8937_21.08.2011_EXELAB.rU.tgz - Universal_Fixer.exe

| Сообщение посчитали полезным:

Reflexil v1.2

Версия только для Reflector 7

--> Link <--

| Сообщение посчитали полезным:

Airenikus, на прошлой странице написано как подключить его к любой версии, впрочем как и любые другие плагины к любой версии

| Сообщение посчитали полезным:

По большей части - это новая версия плагина со своими фиксами

| Сообщение посчитали полезным:

А есть ли какая прога вроде sae или плагина reflexi, в которой можно модифицировать смешанную сборку, а то у этих monocecil ругается?

| Сообщение посчитали полезным:

Shurikenix, ollydbg

| Сообщение посчитали полезным:

Reflexil 1.3 http://sourceforge.net/projects/reflexil/files/DOTNET%20Compiled%20Binaries/

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

Подскажите пожалуйста вот по какому вопросу:
есть прога на .NET
.NET Id говорит: MaxToCode 100%
DNiD: DotNet Reactor v4.X -> Eziriz
пытаюсь снять триал. Опыт подобного есть совсем небольшой, обычно обходилось дело рефлектором.
после попытки через CFF Explorer снять аттрибут SuppressIldasmAttribute - не запускается. В какую сторону копать?
и в догонку: откопал через SAE enum, перечисляющий типы лицензий и возникла наивная идея - если подменить через CFF значения этих enum'ов - есть шанс, что будет работать?
вобщем подскажите куда копать.

| Сообщение посчитали полезным:

NikolayD пишет:
Reactor_Decryptor.zip
I try with http://www.mediafire.com/download.php?gi9z5oaevi2ehpu , decryptor said "not event .NET assembly" (already with CreateProcess option).

| Сообщение посчитали полезным:

tonyrood
сначало определись чем паковано. если код не спрятан то рефлектором и обойдётся.
Либо уже смотри в сторону реактор декриптора или MaxToCode хз чо там.
снять аттрибут SuppressIldasmAttribute - не запускается.
а что он мешает? не запускаца может из за стронг нэйма или проверки крк например, всякое бывает.

если подменить через CFF значения этих enum'ов - есть шанс, что будет работать?
попробуй чо, шанс всегда есть)

-----
zzz

| Сообщение посчитали полезным:

Привет. Возник такой вопрос - как определить на какой метод ссылается обработчик событий.
Сборка обфусцирована. Загружау ее в DILE, запускаю и смотрю поля нужной переменной.
Там есть вот такое:
System.Reflection.RuntimeMethodInfo.ToString() "Void OnLoad(System.Object, MotorSolve.DesignEventArgs)"
Но в сборке нет никакого OnLoad.
Кроме того у этой переменной, кроме кучи всего прочего, присутствуют еще вот такие поля:
_methodPtr 0x3b2054
_methodPtrAux 0xe614510
MetadataToken 0x60000f8
При попытке пошаговой отладки DILE не заходит в метод, который вызывается через этот обработчик событий.
Кто подскажет, как мне узнать в какой метод передается управление?

| Сообщение посчитали полезным:

Разобрался сам. Прога использует какой-то Sycfusion Script Manager и компилит на ходу. Вот текст без обфускации, который затем исполняется "на лету".
"
namespace MotorSolve
{
public class ResultScript
{
static ResultEventHandler[] event_handlers= new ResultEventHandler[] { null, null, OnLoad, null, OnExportDesign, OnExportResult };
public static void OnConnect(Motor motor) { Motors.EventHandlers.AddToResult(motor, event_handlers); }
public static void OnDisconnect(Motor motor) { Motors.EventHandlers.RemoveFromResult(motor, event_handlers); }
public static void OnLoad(object sender, ResultEventArgs e)
{
Motors.BDC.Result.ShowPWMResult(e.Node, false, false);
}
public static void OnExportDesign(object sender, ResultEventArgs e)
{
Motors.BDC.Result.ShowPWMResult(e.Node, true, false);
}
public static void OnExportResult(object sender, ResultEventArgs e)
{
Motors.BDC.Result.ShowPWMResult(e.Node, false, true);
}
}
}"

| Сообщение посчитали полезным:

После загрузки в SAE сборка не запускается. Т.е. если загрузить в SAE и без изменений просто сохранить, то сборка не запустится. Что можно сделать в этом случае? Или чем можно деобфусцировать сборку, кроме SAE?

| Сообщение посчитали полезным:

EiDeNaR
сае самая лучшая утилита
из других - например PvLog DeObfuscator

| Сообщение посчитали полезным: EiDeNaR