Сейчас на форуме: -Sanchez- (+8 невидимых)

 eXeL@B —› Основной форум —› Взлом .NET (part 2)
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 15 . 16 . >>
Посл.ответ Сообщение


Ранг: 2014.5 (!!!!), 1278thx
Активность: 1.340.25
Статус: Модератор
retired

Создано: 12 сентября 2017 12:06
· Личное сообщение · #1

Со времени создания топика много обсудили, во много м разобрались и много осталось за кадром. Решил подшить выкладываемый софт и линки

Инструменты:

dnSpy - бодрый декомпилятор и отладчик тут беты

Gray Wolf - DE-ObfuScatE / Edit IL(Live) / Add payloads / Edit attributes(public/privet) / Copy strong names signing on EXE/DLL
ReSharper 6.0 Build 2093 Pre-Release - Очень навороченый декомпилер, побробности --> ТУТ <--.
Рег-данные:
Code:
  1. User Name: ReSharper EAP User
  2. License Key: 0-A60kqsqDMPkvPrLC3bz1/jmns4/DAUV6
  3. which is valid until 31 March 2010

Reflector 8.3.3.115 - платный декомпилятор .NET 8.3.0.95 + (дополнение к нему)
Седьмая версия рефлектора - думаю все знают
Сборка Add-in'ов для Reflector - есть много полезных вещей
.Net ID 1.0.0.3 - определение защиты
DNiD by Rue - сигнатурный анализатор
Dotnet IL Editor (DILE)- Opensource дизассемблер и дебаггер
Xenocode Fox Code Analyzer- профайлер и дизассемблер
Reactor Decryptor 1.7 - что то декриптит, но что не понятно(с) zeppe1in
Simple Assembly Explor (SAE) - Assembler, Disassembler, Deobfuscator, IL editor and more...
DotNet Dumper 1.0 - Дампер .net'овских приложений. Подробное описание
Kurapica dotNET Tracer 1.1 - трейсер от известного автора инструментов для .net
ILSpy 1.0.0.481 - Opensource комбайн, на подобие SAE. Подробности тут
dotTrace Performance 4.0.665.4 - Неплохой трейсер для .Net приложений. Умеет делать трейсы не смешивая потоки как KDT. Умеет сравнивать трейсы двух запусков программы
Рег-данные:
Code:
  1. Name: exelab
  2. Serial: OLgDSHG0hJghkLdXYJh1IjM3ytMrqKcn

Universal Fixer 1.0 - fix dumps after dumping them whit Dotnet Dumper or other similiar tools and will also fix nasty things: multiple assembly/module definitions, wrong extends, etc.
iMPROVE .NET Deobfuscator - деобфускатор


ConfuserDumper
ConfuserDelegateKiller
CodeCrackerTools: ConfuserMethodsDecryptor, ConfuserDelegateKiller, ConfuserStringDecryptor, MegaDumper, etc.

Документация:
--> Microsoft <--
--> Metadata and File Format <--
--> CIL(опкоды с полным пояснениями) <--

Статьи с хабры:
Защита .NET приложений - Субъективная теоретическая муть с хабры, выдаваемая за обзор обфускаторов(только для фанатов)
Как обмануть NET.Reflector - вот это уже годная статья, в которой рассматривается ручная обфускация в стихах и картинках
Взлом программ для чайников - ну не знаю...прописные истины, но приятно, что все это есть на русском языке и нормально оформлено
Реверс-инжиниринг обфусцированной сборки .NET - один только заголовок чего стоит. По сути статья информативная
Инъекции MSIL кода в стороннюю сборку при помощи Mono.Cecil. Реализация принципов АОП в NET
Избавление .NET программы от регистрации на примере BEM
Снимаем дамп объектов с памяти .Net приложения

Другое:
.NET Reflector v7.0.0.198 (C# Source by wangshy)
String decryption with de4dot

Прошлый топик https://exelab.ru/f/action=vthread&forum=1&topic=16650&page=-1

-

Last edit: 2012-02-17, Links fixed. Jupiter

| Сообщение посчитали полезным: prorab777, ViruSZ7

Ранг: 8.0 (гость)
Активность: 0.010
Статус: Участник

Создано: 14 ноября 2017 03:17
· Личное сообщение · #2

hi every body
i need this tools plz









Ранг: 262.5 (наставник), 337thx
Активность: 0.340.25
Статус: Участник

Создано: 15 ноября 2017 05:38 · Поправил: TryAga1n
· Личное сообщение · #3

B0u3z1z1, https://unknownsharp.weebly.com/productos.html

| Сообщение посчитали полезным: B0u3z1z1

Ранг: 8.0 (гость)
Активность: 0.010
Статус: Участник

Создано: 15 ноября 2017 07:01
· Личное сообщение · #4

TryAga1n
the link download not working



Ранг: 456.3 (мудрец), 340thx
Активность: 0.280.02
Статус: Участник
Android Reverser

Создано: 19 ноября 2017 10:40
· Личное сообщение · #5

А как дебажить WindowsRT аппы, которые лежат в "c:\Program Files\WindowsApps\.."?

-----
SaNX




Ранг: 431.7 (мудрец), 389thx
Активность: 0.730.32
Статус: Участник

Создано: 27 ноября 2017 09:49 · Поправил: dosprog
· Личное сообщение · #6

))
Тупо "играл и не смог раскрутить барабан".
Подскажите All, плз, как в IlSpy (v.2.2.0.1737) установить брейкпоинт?
А то все пункты в меню есть, даже "Remove All Breйkpoints",
а установить брейкпоинт (типа как <F9> в DnSpy) - нету.





Ранг: 330.4 (мудрец), 334thx
Активность: 0.160.17
Статус: Участник
ILSpector Team

Создано: 27 ноября 2017 09:52
· Личное сообщение · #7

dosprog пишет:
Подскажите All, плз
http://prntscr.com/hfqbi7

| Сообщение посчитали полезным: dosprog

Ранг: 57.0 (постоянный), 10thx
Активность: 0.050.08
Статус: Участник

Создано: 28 ноября 2017 21:22 · Поправил: zds
· Личное сообщение · #8

подскажите советом пожалуйста...
исследовал прогу. вроде бы разобрался с лицензированием, но есть проблема: если запускать прогу прод отладчиком для dotNet (Ilspector или dnSpy), то все работает как надо (все параметры из лицензии читаются, все функции разблокируются и все работает как надо). Но если запускать прогу без отладчика, то она уже не читает некоторые строки лицензии и часть функций не работает. Т.е. под отладчиком прога действует по другому алгоритму.
Явного детекта отладчика (типа isDebuggerPreset или IsAttached) в коде я не нашел. если запустить прогу через OllyDbg (даже чистую без плагинов) или даже вручную поправить isDebuggePreset на 1, то она работает так же как без отладчика. Т.е. програ детектит только dotNet отладчик.
Такое ощущение, что какие-то методы выполняются или не выполняются только под отладчиком или переменные\константы под отладчиком отличаются.
Нашел что есть спец атрибуты методов\классов для отладчика, но среди них не нашел которые могли бы влиять на алгоритм\переменные.
может есть какие-то идеи? уже неделю мучаюсь.....



Ранг: 171.0 (ветеран), 11thx
Активность: 0.050
Статус: Участник

Создано: 28 ноября 2017 23:22
· Личное сообщение · #9

zds пишет:
Такое ощущение, что какие-то методы выполняются или не выполняются только под отладчиком или переменные\константы под отладчиком отличаются.

Н-да. Отличная идея как реализовать защиту!
А вот как искать, где собака зарыта, сходу непонятно...




Ранг: 77.2 (постоянный), 73thx
Активность: 0.190.15
Статус: Участник

Создано: 29 ноября 2017 00:26
· Личное сообщение · #10

zds
Запуск проги из GAC()
Обмен..
Юзай Ilspector или dnSpy only..



Ранг: 512.7 (!), 360thx
Активность: 0.270.03
Статус: Модератор

Создано: 29 ноября 2017 10:23
· Личное сообщение · #11

походу тут пару вариантов -
1) детект дебажки
2) запомнили етот факт (где-то, както), желательно замесить с математикой
3) .... время... время...
4) ах дебаггер - получите распишитесь



Ранг: 431.7 (мудрец), 389thx
Активность: 0.730.32
Статус: Участник

Создано: 29 ноября 2017 11:34 · Поправил: dosprog
· Личное сообщение · #12

Даже и думать так не сметь
От этого потом у всех никому не нужный головнякъ




Ранг: 337.6 (мудрец), 224thx
Активность: 0.210.1
Статус: Участник
born to be evil

Создано: 29 ноября 2017 11:38
· Личное сообщение · #13

sendersu
за это девелоперов надо бить по рукам очень сильно, если софт детектит дебаггер (которого нет), и начинает косячить

-----
От многой мудрости много скорби, и умножающий знание умножает печаль




Ранг: 57.0 (постоянный), 10thx
Активность: 0.050.08
Статус: Участник

Создано: 29 ноября 2017 12:06
· Личное сообщение · #14

я правильно понял, что атрибуты типа DebuggerStepThroughAttribute или DebuggerHiddenAttribute не влияют на выполнение кода? т.е. код выполняется в любом случае, просто дебаггер вместо захода в метод F11 выполняет F10 в первом случае или не реагирует на BP во втором

sefkrd
можно по подробнее если не сложно
это предположение причины или руководство к действию? смотрел из Olly из GAC подгружается только несколько системных либ




Ранг: 337.6 (мудрец), 224thx
Активность: 0.210.1
Статус: Участник
born to be evil

Создано: 29 ноября 2017 14:11
· Личное сообщение · #15

zds
прога патченая? в памяти посмотри, откуда грузятся либы при нормальном запуске. там могут быть из GAC взяты оригинальные. про это, видимо, намекали

-----
От многой мудрости много скорби, и умножающий знание умножает печаль




Ранг: 57.0 (постоянный), 10thx
Активность: 0.050.08
Статус: Участник

Создано: 29 ноября 2017 14:29
· Личное сообщение · #16

ajax
нет все без патчей сделано.
я писал выше, что смотрел загруженные либы когда пробовал запускать через olly - из GAC подгружаются только несколько системных библиотек, все остальное грузится из родного каталога



Ранг: 330.4 (мудрец), 334thx
Активность: 0.160.17
Статус: Участник
ILSpector Team

Создано: 29 ноября 2017 16:18
· Личное сообщение · #17

zds выложи сюда таргет подумаем вместе.

| Сообщение посчитали полезным: sefkrd

Ранг: 57.0 (постоянный), 10thx
Активность: 0.050.08
Статус: Участник

Создано: 30 ноября 2017 01:46
· Личное сообщение · #18

Проблема решилась установкой апдейта для проги. Надо будет сравнить файлы ради интереса...




Ранг: 337.6 (мудрец), 224thx
Активность: 0.210.1
Статус: Участник
born to be evil

Создано: 04 декабря 2017 17:52
· Личное сообщение · #19

--> Reflector 9.3 <--

-----
От многой мудрости много скорби, и умножающий знание умножает печаль


| Сообщение посчитали полезным: sendersu, Dart Raiden

Ранг: 21.5 (новичок), 4thx
Активность: 0.010.03
Статус: Участник

Создано: 06 декабря 2017 20:40
· Личное сообщение · #20

Добрый всем вечер,

есть таргет, вроде определяется как Agile.NET обфускатор (de4dot не справляется).
Однако, при отладке возникают мессаджбоксы Oreans/Themida.

Неверно определился пакер или я чего-то не знаю?
Прошу совета =)



Ранг: 18.3 (новичок), 6thx
Активность: 0.030.02
Статус: Участник

Создано: 06 декабря 2017 21:07
· Личное сообщение · #21

freudz, кто же Вам подскажет без таргета? Или Вам нужны бесполезные догадки?



Ранг: 590.4 (!), 408thx
Активность: 0.360.18
Статус: Модератор

Создано: 06 декабря 2017 22:37
· Личное сообщение · #22

Вобщем, есть софтина из многих mixed-code сборок. И нужно мне в ней в managed части попатчить. Да так чтоб native не поломать. Насколько я помню dnSpy пересборку делает проекта. Может есть утиль которая умеет inplace replacement?
Еще как вариант CLR похучить, но это явно не самый простой способ. Но пример будет кстати.
Еще подошел бы метод типа профайлинга с подменой тел методов на лету. Но по ссылке внешнее приложение профайлит таргет. А я все-таки предпочел бы обвязкой не заморачиваться.
Попутно вопрос: подгрузка сборки не инициирует DLL_THREAD_ATTACH нотифай в нативных либах. Нет ли в CLR колбека, который выполнялся бы раньше всех сразу после подгрузки DLL и до выполнения <Module>.cctor и прочей инициализации? Предзагрузка через LoadLibrary не помогает потому что система не считает подгруженный образ сборкой и грузит ее по новой на другую базу.

-----
старый пень




Ранг: 21.5 (новичок), 4thx
Активность: 0.010.03
Статус: Участник

Создано: 07 декабря 2017 10:38 · Поправил: freudz
· Личное сообщение · #23

Lambda
Ваша правда =)
(может ореанс прикупила аджайл, думалось так)

Вот тело:
_h_t_t_p_s_://fex.net/#!016461325295

Спасибо!




Ранг: 337.6 (мудрец), 224thx
Активность: 0.210.1
Статус: Участник
born to be evil

Создано: 07 декабря 2017 11:37
· Личное сообщение · #24

freudz
Agile.NET. прога использует senselock очень "не кисло". так, к размышлению

-----
От многой мудрости много скорби, и умножающий знание умножает печаль


| Сообщение посчитали полезным: freudz

Ранг: 21.5 (новичок), 4thx
Активность: 0.010.03
Статус: Участник

Создано: 07 декабря 2017 14:58
· Личное сообщение · #25

ajax,Lambda,ALL!

Помогите распаковать, бьюсь уже долго - результата нет.
Спасибо!

_h_t_t_p_s_://fex.net/#!016461325295



Ранг: 330.4 (мудрец), 334thx
Активность: 0.160.17
Статус: Участник
ILSpector Team

Создано: 07 декабря 2017 16:32
· Личное сообщение · #26

r_e пишет:
Вобщем, есть софтина
........ а jit уже перехвачен в защите таргета?

Добавлено спустя 2 минуты
freudz пишет:
Помогите распаковать

Тебе как минимум сюда
https://exelab.ru/f/action=vthread&forum=2&topic=24716
но чтото мне подсказывает что сюда
https://exelab.ru/f/action=vthread&forum=1&topic=17633



Ранг: 21.5 (новичок), 4thx
Активность: 0.010.03
Статус: Участник

Создано: 07 декабря 2017 18:19
· Личное сообщение · #27

Medsft
Спасибо за направления, но нет =)
Я тут за советами...

de4dot валится (exception) у меня на методе MethodBodyParser.ParseMethodBody2:
Code:
  1.                               if (codeOffset != 12)
  2.                                    throw new InvalidMethodBody();


codeOffset = 44 в моем случае. И вот ломаю голову о назначении захардкоженных чисел.
Кто-нить может разъяснить?

Спасибо.

Добавлено спустя 8 минут
freudz пишет:
есть таргет, вроде определяется как Agile.NET обфускатор (de4dot не справляется).
Однако, при отладке возникают мессаджбоксы Oreans/Themida.


Теперь понятно...
Ядро рантайма Agile.NET закрыто Themida/Winlicense(2.X)[-]



Ранг: 590.4 (!), 408thx
Активность: 0.360.18
Статус: Модератор

Создано: 07 декабря 2017 19:54
· Личное сообщение · #28

Medsft
Не JIT не перехвачен. Вопрос с патчем я уже решил. dnSpy + hiew помогли. Так что пока отбой. Но вопросы, конечно, остались.

-----
старый пень





Ранг: 337.6 (мудрец), 224thx
Активность: 0.210.1
Статус: Участник
born to be evil

Создано: 07 декабря 2017 20:15
· Личное сообщение · #29

r_e
да, в идеале такие сборки делать байтпатчем

-----
От многой мудрости много скорби, и умножающий знание умножает печаль




Ранг: 21.5 (новичок), 4thx
Активность: 0.010.03
Статус: Участник

Создано: 08 декабря 2017 09:47
· Личное сообщение · #30

Хай, ALL

У кого-нить есть AgileDotNetRT.dll версии ниже 6.5.0.2 (6.х), желательно без тхемиды?



Ранг: 512.7 (!), 360thx
Активность: 0.270.03
Статус: Модератор

Создано: 08 декабря 2017 10:23
· Личное сообщение · #31

1) скорей всего таких нету
2) В чем проблем снять темиду?


<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 15 . 16 . >>
 eXeL@B —› Основной форум —› Взлом .NET (part 2)
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати