Со времени создания топика много обсудили, во много м разобрались и много осталось за кадром. Решил подшить выкладываемый софт и линки

Инструменты:

dnSpy - бодрый декомпилятор и отладчик тут беты

Gray Wolf - DE-ObfuScatE / Edit IL(Live) / Add payloads / Edit attributes(public/privet) / Copy strong names signing on EXE/DLL
ReSharper 6.0 Build 2093 Pre-Release - Очень навороченый декомпилер, побробности --> ТУТ <--.
Рег-данные:

Reflector 8.3.3.115 - платный декомпилятор .NET 8.3.0.95 + (дополнение к нему)
Седьмая версия рефлектора - думаю все знают
Сборка Add-in'ов для Reflector - есть много полезных вещей
.Net ID 1.0.0.3 - определение защиты
DNiD by Rue - сигнатурный анализатор
Dotnet IL Editor (DILE)- Opensource дизассемблер и дебаггер
Xenocode Fox Code Analyzer- профайлер и дизассемблер
Reactor Decryptor 1.7 - что то декриптит, но что не понятно(с) zeppe1in
Simple Assembly Explor (SAE) - Assembler, Disassembler, Deobfuscator, IL editor and more...
DotNet Dumper 1.0 - Дампер .net'овских приложений. Подробное описание
Kurapica dotNET Tracer 1.1 - трейсер от известного автора инструментов для .net
ILSpy 1.0.0.481 - Opensource комбайн, на подобие SAE. Подробности тут
dotTrace Performance 4.0.665.4 - Неплохой трейсер для .Net приложений. Умеет делать трейсы не смешивая потоки как KDT. Умеет сравнивать трейсы двух запусков программы
Рег-данные:

Universal Fixer 1.0 - fix dumps after dumping them whit Dotnet Dumper or other similiar tools and will also fix nasty things: multiple assembly/module definitions, wrong extends, etc.
iMPROVE .NET Deobfuscator - деобфускатор


ConfuserDumper
ConfuserDelegateKiller
CodeCrackerTools: ConfuserMethodsDecryptor, ConfuserDelegateKiller, ConfuserStringDecryptor, MegaDumper, etc.

Документация:
--> Microsoft <--
--> Metadata and File Format <--
--> CIL(опкоды с полным пояснениями) <--

Статьи с хабры:
Защита .NET приложений - Субъективная теоретическая муть с хабры, выдаваемая за обзор обфускаторов(только для фанатов)
Как обмануть NET.Reflector - вот это уже годная статья, в которой рассматривается ручная обфускация в стихах и картинках
Взлом программ для чайников - ну не знаю...прописные истины, но приятно, что все это есть на русском языке и нормально оформлено
Реверс-инжиниринг обфусцированной сборки .NET - один только заголовок чего стоит. По сути статья информативная
Инъекции MSIL кода в стороннюю сборку при помощи Mono.Cecil. Реализация принципов АОП в NET
Избавление .NET программы от регистрации на примере BEM
Снимаем дамп объектов с памяти .Net приложения

Другое:
.NET Reflector v7.0.0.198 (C# Source by wangshy)
String decryption with de4dot

Прошлый топик https://exelab.ru/f/action=vthread&forum=1&topic=16650&page=-1

-

Last edit: 2012-02-17, Links fixed. Jupiter

| Сообщение посчитали полезным: prorab777, ViruSZ7

попробовал
AppFuscatorUnpacker
AppFuscatorStringsDecryptor
нечего не изменилось
http://prntscr.com/n832wt

Добавлено спустя 32 минуты
Protection id вроде пишет
[!] [.net scan core] dotNetReactor detected!
но de4dot не снимает защиту
и ошибок не выдает

Добавлено спустя 16 часов 43 минуты
помогите снять защиту пожалуйста
https://yadi.sk/d/befytBl6XxEkmw
или напишите какая защита стоит

| Сообщение посчитали полезным:

Есть файл, обработан Skater.NET. Пробовал деобфускатором снять защиту, но не получилось, знаний мало. Может кто подскажет план действия и укажет какими прогами пользоваться. Заранее благодарен.

| Сообщение посчитали полезным:

vitalik9
https://exelab.ru/f/action=vthread&forum=2&topic=24716
avr5219
DnSpy

| Сообщение посчитали полезным: avr5219

Mishar_Hacker
Не туда ты их отправил (у Виталика вообще бот для автоматизации бизнеса)... Тут в --> поиск специалистов<--

-----
ds

| Сообщение посчитали полезным: Mishar_Hacker, CyberGod

Приветствую всех обитателей форума.
Хочу попросить помощи в борьбе с обфускатором Agile.net. Честно говоря не представляю с какой стороны к этой задаче подойти.
Я раньше вытаскивал данные из .net приложения модифицируя код и подключая его библиотеку к своей программе, но теперь применён обфускатор и я обломался
Прошу подсказать в каком направлении действовать.
вот сам файл h_ps://dropmefiles.com/cG9bQ
Спасибо.
зы: de4dot падает с исключением "Only 32-bit dynamic methods decryption is supported"

| Сообщение посчитали полезным:

смотри сырки дедота по поиску "Only 32-bit dynamic methods decryption is supported"

| Сообщение посчитали полезным:

Есть файл распакованный из ConfuserEx (вручную сдампил модуль после Module.cctor()) и обработал de4dot.
Весь код читается, запускается, но на Application.Run(new Form1()) валится в исключение (_message "Не удалось загрузить файл или сборку "System.Graphics, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" либо одну из их зависимостей. Не удается найти указанный файл." string). Не пойму что это за System.Graphics такой?
Может это быть какая то фейковая ссылка?
Еще есть ссылка на System.Forms.
Программа по идее какие то сторонние библиотеки не должна использовать.

https://i.imgur.com/04E0PYw.png

| Сообщение посчитали полезным:

Adler
В DnSpy загрузи и проверь где именно отваливается

| Сообщение посчитали полезным:

<не актуально>

| Сообщение посчитали полезным:

есть у кого Kurapica dotNET Tracer 1.1 ?

| Сообщение посчитали полезным:

Nihil enim пишет:
есть у кого Kurapica dotNET Tracer 1.1 ?

--> оно <--?

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Не знаю, вопрос в тему про IDA или сюда - можно как то заставить IDA показывать в префиксе не смещение относительно сегмента, а реальное смещение в файле? А то при наведении на строку внизу оно показывает оба смещения, но в префиксе почему-то только сегментное и нигде установки как переставить я не нашел. Или какой нибудь другой IL дизассемблер, может, есть, который такое умеет? На крайняк - простой и внятный алгоритм пересчета сегментных смещений в реальные, а то у меня такое ощущение складывается, что для этого собственный дизассемблер писать надо

| Сообщение посчитали полезным:

_MBK_
файловые адреса имеют смысл только на уровне формата, при загрузке данных модуля.
а в остальном работа ведётся с виртуальными адресами.

_MBK_ пишет:
простой и внятный алгоритм пересчета сегментных смещений в реальные
для ПЕ-формата пересчёт простой: виртуальныйАдрес - виртуальноеСмещениеСекции + физическоеСмещениеСекции

но чтоб дотнет через иду ковырять - это надо представление о нём иметь. О пуле строк и таблицах полей и методов, так как к ним обращение идёт хитрыми путями. Не забываем, чтоб MSIL не выполняется напрямую, а компилируется при запуске, поэтому в опкодах кодируются не прямые ссылки, а всего лишь индексы в массиве или смещения относительно начала таблицы.

| Сообщение посчитали полезным:

Для PE естественно все просто. А вот для IL смещение высчитывать для каждого метода весьма нетривиально надо и как то не особо хочется для этого самому парсить таблицы полей и методов при таком богатстве инструментария. Неужели это один я хочу странного?

| Сообщение посчитали полезным:

_MBK_ пишет:
Неужели это один я хочу странного?
похоже на то.
Есть множество инструментов, гораздо лучше приспособленных для подобных задач, чем IDA

Бывает, конечно, что приходится разбираться в смешанных сборках, где часть методов уже скомпилированы в натив - вот тогда можно подключить иду. А в остальных случаях возьмите хоть тот же днспай - и код до читабельного доведёт, и смещение метода покажет если надо

| Сообщение посчитали полезным: _MBK_

И то верно! Только сейчас обратил внимание, что dnspy при сохранении листинга в префиксе file offset выдает, спасибо! А можно как то настроить, чтобы он сразу весь файл в один листинг декодировал, как IDA?

| Сообщение посчитали полезным:

Вот за один листинг не скажу. Мало кому в реальности нужен такой объём неструктурированного кода, поэтому всё разбивается на разные файлы.
Меню "Файл-Экспорт в проект" переработает сборку в кучку исходников

| Сообщение посчитали полезным:

Я к тому, что автоматизированно обрабатывать все таки проще один большой файл, чем кучу вложенных папок. Ну да ладно, неудобство на самом деле совсем незначительное

| Сообщение посчитали полезным:

подскажите почему многие mixed mode dll грузятся по два раза по двум разным адресам?
смотрю приложение через Olly, почти все mixed dll загружены дважды.
поставил бряк и там и там, понял в каком модуле исполняется код. но не понятно нужно ли на всякий случай патчить дубль или нет

| Сообщение посчитали полезным:

zds пишет:
патчить если я не ошибаюсь, патч - физическое изменение файла.... разве можно сделать изменение только в одной виртуальной копии, внесением изменений в файл на диске? или это имеется в виду ВрМем делать - тогда зачем трогать то, чем не пользуются?
П.С. Это мысли вслух.

| Сообщение посчитали полезным:

PEvgen
да, я имел ввиду изменение памяти уже загруженной dll через лоадер
просто мне не понятно почему dll загружается двумя модулями по двум адресам.

| Сообщение посчитали полезным:

Так это от лоадера зависит и от того, в какой момент вы ее патчить хотите. И почему нельзя сдампить и сделать нормальный патч, обязательно на лету в памяти?

| Сообщение посчитали полезным:

_MBK_
в каком смысле зависит от лоадера? я сейчас смотрю без каких-либо лоадеров, просто через Olly
скрин в аттаче
mixed mode dll загружаются по два раза.

приложение ни чем не упаковано, ни чего дампить не надо. просто там куча dll и в каждой второй проверка файлов на подписи и целостность. мне проще сделать лоадер для изменения одного значения в памяти, чем делать патч файла и плюсом еще патчить 5-7 файлов на проверки подписи и целостности.

у меня проблем сделать лоадер нет, он уже готов, все работает. просто интересно почему так происходит и нужно ли изменять оба модуля? сейчас изменяю только один. вдруг второй исполняется при определенных обстоятельствах.

8fcf_11.09.2019_EXELAB.rU.tgz - double_load.png

| Сообщение посчитали полезным:

Высокоинформативный скрин....
Мне, в мою бытность студентом, на этапе обучения программированию (когда я был далек не то что от отладки дизасемблированием, а вообще от программирования), в частности ".НЕТ", попадалась на уши информация о том,
что это имено из-за "дуал мода" библиотеки. Обьяснялось это следующим: выполнение контролируемого и обычного кода происходит в разных местах. Сейчас с НЕТ"ом я есчо не сталкивался, потому не скажу насколько это достоверная инцормация. Вечером придут зубры скажут точнее, или не скажут

| Сообщение посчитали полезным: zds

zds _MBK_ PEvgen- не майтесь хуйней.

| Сообщение посчитали полезным: Adler

В какой момент проверяется целостность? Не совсем понимаю смысл этих танцев в гамаке, неужели поймать момент для всплытия когда уже целостность проверена проще, чем полностью снять проверку целостности? Вдобавок, если целостность проверяет сама сборка в процессе работы, сомнителен смысл вообще всей затеи со всплытием. Вы вообще хотя бы на одной библиотеке ваш лоадер пробовали, он реально работает?

| Сообщение посчитали полезным:

_MBK_
ладно, проехали... я видимо не правильно выражаюсь (в терминологии не силен)
да, все работает. ставлю хук LoadLibraryExW, дожидаюсь нужной либы, патчу пару байт и все работает. если тоже самое сделать патчем файла, то эта и другие dll (т.к. проверяют все загруженные модули) начинают сыпаться на VerifyStrongNameSignature, WinVerifyTrust и еще чем-то... так что считаю лоадер здесь более уместным

UPD
кстати, сейчас проверил через Olly v2, там модули не двоятся. видимо баг или особенность v1

| Сообщение посчитали полезным:

zds пишет:
да, все работает. ставлю хук LoadLibraryExW, дожидаюсь нужной либы, патчу пару байт и все работает. если тоже самое сделать патчем файла, то эта и другие dll (т.к. проверяют все загруженные модули) начинают сыпаться на VerifyStrongNameSignature, WinVerifyTrust и еще чем-то... так что считаю лоадер здесь более уместным погодика-погодика, ты у нас научился обходить проверку цифровой подписи без патчинга апи? Научи меня.

| Сообщение посчитали полезным:

Medsft
Там же написано что он работает уже в контексте апп и патчит после подгрузки нужной длл. В чем проблема-то?

-----
старый пень

| Сообщение посчитали полезным:

A в том что LoadLibraryExW вызывается прежде чем StrongNameSignatureVerificationEx.

Добавлено спустя 37 минут
Вот раз уж r_e вступился , накатал тест.
zds пожалуйста сделай мне лоадер чтобы менял один байтик в testlibrary.dll и выдавал правильное сообщение о пройденной проверке.Защиты в sample никакой нет, код открыт, просто проверка подписи.
Если запатчишь более одного байта или менее одного байта - экзамен не сдал, а заодно r_e двойку влепим.

bb3e_12.09.2019_EXELAB.rU.tgz - test.zip

Добавлено спустя 38 минут
там есть картинки какой байтик патчить и patch.txt со смещением и что на что.

Добавлено спустя 39 минут
Или мне двойку поставим)

| Сообщение посчитали полезным: