Со времени создания топика много обсудили, во много м разобрались и много осталось за кадром. Решил подшить выкладываемый софт и линки

Инструменты:

dnSpy - бодрый декомпилятор и отладчик тут беты

Gray Wolf - DE-ObfuScatE / Edit IL(Live) / Add payloads / Edit attributes(public/privet) / Copy strong names signing on EXE/DLL
ReSharper 6.0 Build 2093 Pre-Release - Очень навороченый декомпилер, побробности --> ТУТ <--.
Рег-данные:

Reflector 8.3.3.115 - платный декомпилятор .NET 8.3.0.95 + (дополнение к нему)
Седьмая версия рефлектора - думаю все знают
Сборка Add-in'ов для Reflector - есть много полезных вещей
.Net ID 1.0.0.3 - определение защиты
DNiD by Rue - сигнатурный анализатор
Dotnet IL Editor (DILE)- Opensource дизассемблер и дебаггер
Xenocode Fox Code Analyzer- профайлер и дизассемблер
Reactor Decryptor 1.7 - что то декриптит, но что не понятно(с) zeppe1in
Simple Assembly Explor (SAE) - Assembler, Disassembler, Deobfuscator, IL editor and more...
DotNet Dumper 1.0 - Дампер .net'овских приложений. Подробное описание
Kurapica dotNET Tracer 1.1 - трейсер от известного автора инструментов для .net
ILSpy 1.0.0.481 - Opensource комбайн, на подобие SAE. Подробности тут
dotTrace Performance 4.0.665.4 - Неплохой трейсер для .Net приложений. Умеет делать трейсы не смешивая потоки как KDT. Умеет сравнивать трейсы двух запусков программы
Рег-данные:

Universal Fixer 1.0 - fix dumps after dumping them whit Dotnet Dumper or other similiar tools and will also fix nasty things: multiple assembly/module definitions, wrong extends, etc.
iMPROVE .NET Deobfuscator - деобфускатор


ConfuserDumper
ConfuserDelegateKiller
CodeCrackerTools: ConfuserMethodsDecryptor, ConfuserDelegateKiller, ConfuserStringDecryptor, MegaDumper, etc.

Документация:
--> Microsoft <--
--> Metadata and File Format <--
--> CIL(опкоды с полным пояснениями) <--

Статьи с хабры:
Защита .NET приложений - Субъективная теоретическая муть с хабры, выдаваемая за обзор обфускаторов(только для фанатов)
Как обмануть NET.Reflector - вот это уже годная статья, в которой рассматривается ручная обфускация в стихах и картинках
Взлом программ для чайников - ну не знаю...прописные истины, но приятно, что все это есть на русском языке и нормально оформлено
Реверс-инжиниринг обфусцированной сборки .NET - один только заголовок чего стоит. По сути статья информативная
Инъекции MSIL кода в стороннюю сборку при помощи Mono.Cecil. Реализация принципов АОП в NET
Избавление .NET программы от регистрации на примере BEM
Снимаем дамп объектов с памяти .Net приложения

Другое:
.NET Reflector v7.0.0.198 (C# Source by wangshy)
String decryption with de4dot

Прошлый топик https://exelab.ru/f/action=vthread&forum=1&topic=16650&page=-1

-

Last edit: 2012-02-17, Links fixed. Jupiter

| Сообщение посчитали полезным: prorab777, ViruSZ7

hi every body
i need this tools plz







| Сообщение посчитали полезным:

B0u3z1z1, https://unknownsharp.weebly.com/productos.html

| Сообщение посчитали полезным: B0u3z1z1

TryAga1n
the link download not working

| Сообщение посчитали полезным:

А как дебажить WindowsRT аппы, которые лежат в "c:\Program Files\WindowsApps\.."?

-----
SaNX

| Сообщение посчитали полезным:

))
Тупо "играл и не смог раскрутить барабан".
Подскажите All, плз, как в IlSpy (v.2.2.0.1737) установить брейкпоинт?
А то все пункты в меню есть, даже "Remove All Breйkpoints",
а установить брейкпоинт (типа как <F9> в DnSpy) - нету.



| Сообщение посчитали полезным:

dosprog пишет:
Подскажите All, плз http://prntscr.com/hfqbi7

| Сообщение посчитали полезным: dosprog

подскажите советом пожалуйста...
исследовал прогу. вроде бы разобрался с лицензированием, но есть проблема: если запускать прогу прод отладчиком для dotNet (Ilspector или dnSpy), то все работает как надо (все параметры из лицензии читаются, все функции разблокируются и все работает как надо). Но если запускать прогу без отладчика, то она уже не читает некоторые строки лицензии и часть функций не работает. Т.е. под отладчиком прога действует по другому алгоритму.
Явного детекта отладчика (типа isDebuggerPreset или IsAttached) в коде я не нашел. если запустить прогу через OllyDbg (даже чистую без плагинов) или даже вручную поправить isDebuggePreset на 1, то она работает так же как без отладчика. Т.е. програ детектит только dotNet отладчик.
Такое ощущение, что какие-то методы выполняются или не выполняются только под отладчиком или переменные\константы под отладчиком отличаются.
Нашел что есть спец атрибуты методов\классов для отладчика, но среди них не нашел которые могли бы влиять на алгоритм\переменные.
может есть какие-то идеи? уже неделю мучаюсь.....

| Сообщение посчитали полезным:

zds пишет:
Такое ощущение, что какие-то методы выполняются или не выполняются только под отладчиком или переменные\константы под отладчиком отличаются.
Н-да. Отличная идея как реализовать защиту!
А вот как искать, где собака зарыта, сходу непонятно...

| Сообщение посчитали полезным:

zds
Запуск проги из GAC()
Обмен..
Юзай Ilspector или dnSpy only..

| Сообщение посчитали полезным:

походу тут пару вариантов -
1) детект дебажки
2) запомнили етот факт (где-то, както), желательно замесить с математикой
3) .... время... время...
4) ах дебаггер - получите распишитесь

| Сообщение посчитали полезным:

Даже и думать так не сметь
От этого потом у всех никому не нужный головнякъ

| Сообщение посчитали полезным:

sendersu
за это девелоперов надо бить по рукам очень сильно, если софт детектит дебаггер (которого нет), и начинает косячить

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

я правильно понял, что атрибуты типа DebuggerStepThroughAttribute или DebuggerHiddenAttribute не влияют на выполнение кода? т.е. код выполняется в любом случае, просто дебаггер вместо захода в метод F11 выполняет F10 в первом случае или не реагирует на BP во втором

sefkrd
можно по подробнее если не сложно
это предположение причины или руководство к действию? смотрел из Olly из GAC подгружается только несколько системных либ

| Сообщение посчитали полезным:

zds
прога патченая? в памяти посмотри, откуда грузятся либы при нормальном запуске. там могут быть из GAC взяты оригинальные. про это, видимо, намекали

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

ajax
нет все без патчей сделано.
я писал выше, что смотрел загруженные либы когда пробовал запускать через olly - из GAC подгружаются только несколько системных библиотек, все остальное грузится из родного каталога

| Сообщение посчитали полезным:

zds выложи сюда таргет подумаем вместе.

| Сообщение посчитали полезным: sefkrd

Проблема решилась установкой апдейта для проги. Надо будет сравнить файлы ради интереса...

| Сообщение посчитали полезным:

--> Reflector 9.3 <--

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным: sendersu, Dart Raiden

Добрый всем вечер,

есть таргет, вроде определяется как Agile.NET обфускатор (de4dot не справляется).
Однако, при отладке возникают мессаджбоксы Oreans/Themida.

Неверно определился пакер или я чего-то не знаю?
Прошу совета =)

| Сообщение посчитали полезным:

freudz, кто же Вам подскажет без таргета? Или Вам нужны бесполезные догадки?

| Сообщение посчитали полезным:

Вобщем, есть софтина из многих mixed-code сборок. И нужно мне в ней в managed части попатчить. Да так чтоб native не поломать. Насколько я помню dnSpy пересборку делает проекта. Может есть утиль которая умеет inplace replacement?
Еще как вариант CLR похучить, но это явно не самый простой способ. Но пример будет кстати.
Еще подошел бы метод типа профайлинга с подменой тел методов на лету. Но по ссылке внешнее приложение профайлит таргет. А я все-таки предпочел бы обвязкой не заморачиваться.
Попутно вопрос: подгрузка сборки не инициирует DLL_THREAD_ATTACH нотифай в нативных либах. Нет ли в CLR колбека, который выполнялся бы раньше всех сразу после подгрузки DLL и до выполнения <Module>.cctor и прочей инициализации? Предзагрузка через LoadLibrary не помогает потому что система не считает подгруженный образ сборкой и грузит ее по новой на другую базу.

-----
старый пень

| Сообщение посчитали полезным:

Lambda
Ваша правда =)
(может ореанс прикупила аджайл, думалось так)

Вот тело:
_h_t_t_p_s_://fex.net/#!016461325295

Спасибо!

| Сообщение посчитали полезным:

freudz
Agile.NET. прога использует senselock очень "не кисло". так, к размышлению

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным: freudz

ajax,Lambda,ALL!

Помогите распаковать, бьюсь уже долго - результата нет.
Спасибо!

_h_t_t_p_s_://fex.net/#!016461325295

| Сообщение посчитали полезным:

r_e пишет:
Вобщем, есть софтина ........ а jit уже перехвачен в защите таргета?

Добавлено спустя 2 минуты
freudz пишет:
Помогите распаковать
Тебе как минимум сюда
https://exelab.ru/f/action=vthread&forum=2&topic=24716
но чтото мне подсказывает что сюда
https://exelab.ru/f/action=vthread&forum=1&topic=17633

| Сообщение посчитали полезным:

Medsft
Спасибо за направления, но нет =)
Я тут за советами...

de4dot валится (exception) у меня на методе MethodBodyParser.ParseMethodBody2:


codeOffset = 44 в моем случае. И вот ломаю голову о назначении захардкоженных чисел.
Кто-нить может разъяснить?

Спасибо.

Добавлено спустя 8 минут
freudz пишет:
есть таргет, вроде определяется как Agile.NET обфускатор (de4dot не справляется).
Однако, при отладке возникают мессаджбоксы Oreans/Themida.

Теперь понятно...
Ядро рантайма Agile.NET закрыто Themida/Winlicense(2.X)[-]

| Сообщение посчитали полезным:

Medsft
Не JIT не перехвачен. Вопрос с патчем я уже решил. dnSpy + hiew помогли. Так что пока отбой. Но вопросы, конечно, остались.

-----
старый пень

| Сообщение посчитали полезным:

r_e
да, в идеале такие сборки делать байтпатчем

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

Хай, ALL

У кого-нить есть AgileDotNetRT.dll версии ниже 6.5.0.2 (6.х), желательно без тхемиды?

| Сообщение посчитали полезным:

1) скорей всего таких нету
2) В чем проблем снять темиду?

| Сообщение посчитали полезным: