Сейчас на форуме: -Sanchez- (+9 невидимых)

 eXeL@B —› Основной форум —› Взлом .NET (part 2)
<< 1 ... 9 . 10 . 11 . 12 . 13 . 14 . 15 . 16 . >>
Посл.ответ Сообщение


Ранг: 2014.5 (!!!!), 1278thx
Активность: 1.340.25
Статус: Модератор
retired

Создано: 12 сентября 2017 12:06
· Личное сообщение · #1

Со времени создания топика много обсудили, во много м разобрались и много осталось за кадром. Решил подшить выкладываемый софт и линки

Инструменты:

dnSpy - бодрый декомпилятор и отладчик тут беты

Gray Wolf - DE-ObfuScatE / Edit IL(Live) / Add payloads / Edit attributes(public/privet) / Copy strong names signing on EXE/DLL
ReSharper 6.0 Build 2093 Pre-Release - Очень навороченый декомпилер, побробности --> ТУТ <--.
Рег-данные:
Code:
  1. User Name: ReSharper EAP User
  2. License Key: 0-A60kqsqDMPkvPrLC3bz1/jmns4/DAUV6
  3. which is valid until 31 March 2010

Reflector 8.3.3.115 - платный декомпилятор .NET 8.3.0.95 + (дополнение к нему)
Седьмая версия рефлектора - думаю все знают
Сборка Add-in'ов для Reflector - есть много полезных вещей
.Net ID 1.0.0.3 - определение защиты
DNiD by Rue - сигнатурный анализатор
Dotnet IL Editor (DILE)- Opensource дизассемблер и дебаггер
Xenocode Fox Code Analyzer- профайлер и дизассемблер
Reactor Decryptor 1.7 - что то декриптит, но что не понятно(с) zeppe1in
Simple Assembly Explor (SAE) - Assembler, Disassembler, Deobfuscator, IL editor and more...
DotNet Dumper 1.0 - Дампер .net'овских приложений. Подробное описание
Kurapica dotNET Tracer 1.1 - трейсер от известного автора инструментов для .net
ILSpy 1.0.0.481 - Opensource комбайн, на подобие SAE. Подробности тут
dotTrace Performance 4.0.665.4 - Неплохой трейсер для .Net приложений. Умеет делать трейсы не смешивая потоки как KDT. Умеет сравнивать трейсы двух запусков программы
Рег-данные:
Code:
  1. Name: exelab
  2. Serial: OLgDSHG0hJghkLdXYJh1IjM3ytMrqKcn

Universal Fixer 1.0 - fix dumps after dumping them whit Dotnet Dumper or other similiar tools and will also fix nasty things: multiple assembly/module definitions, wrong extends, etc.
iMPROVE .NET Deobfuscator - деобфускатор


ConfuserDumper
ConfuserDelegateKiller
CodeCrackerTools: ConfuserMethodsDecryptor, ConfuserDelegateKiller, ConfuserStringDecryptor, MegaDumper, etc.

Документация:
--> Microsoft <--
--> Metadata and File Format <--
--> CIL(опкоды с полным пояснениями) <--

Статьи с хабры:
Защита .NET приложений - Субъективная теоретическая муть с хабры, выдаваемая за обзор обфускаторов(только для фанатов)
Как обмануть NET.Reflector - вот это уже годная статья, в которой рассматривается ручная обфускация в стихах и картинках
Взлом программ для чайников - ну не знаю...прописные истины, но приятно, что все это есть на русском языке и нормально оформлено
Реверс-инжиниринг обфусцированной сборки .NET - один только заголовок чего стоит. По сути статья информативная
Инъекции MSIL кода в стороннюю сборку при помощи Mono.Cecil. Реализация принципов АОП в NET
Избавление .NET программы от регистрации на примере BEM
Снимаем дамп объектов с памяти .Net приложения

Другое:
.NET Reflector v7.0.0.198 (C# Source by wangshy)
String decryption with de4dot

Прошлый топик https://exelab.ru/f/action=vthread&forum=1&topic=16650&page=-1

-

Last edit: 2012-02-17, Links fixed. Jupiter

| Сообщение посчитали полезным: prorab777, ViruSZ7

Ранг: 1.5 (гость), 5thx
Активность: 0.02=0.02
Статус: Участник

Создано: 23 ноября 2019 13:31 · Поправил: Odin
· Личное сообщение · #2

Помогите, пожалуйста распаковать .NET Reactor.

Попробовал использовать .NET Reactor v4.9 mod by PC-RET и Support .Net Reactor5.0.0.0 Fixed By Wuhensoft
без доп. ключей не помогает может это вообще не .NET Reactor?





--> Core.dll.7z <--




Ранг: 77.2 (постоянный), 73thx
Активность: 0.190.15
Статус: Участник

Создано: 23 ноября 2019 14:54
· Личное сообщение · #3

Odin
--> Link <--

| Сообщение посчитали полезным: Odin, igorcauret

Ранг: 10.8 (новичок), 4thx
Активность: 0.17=0.17
Статус: Участник

Создано: 06 декабря 2019 11:56 · Поправил: AE
· Личное сообщение · #4

Как добавить ссылку на сборку в сборку?
Можно ли это сделать не объединяя со входящей (другой) сборкой?




Ранг: 330.4 (мудрец), 334thx
Активность: 0.160.17
Статус: Участник
ILSpector Team

Создано: 06 декабря 2019 12:39
· Личное сообщение · #5

Как добавить ссылку на сборку в сборку? cм тему про ILSpector (он умеет добавлять референс)



Ранг: 10.8 (новичок), 4thx
Активность: 0.17=0.17
Статус: Участник

Создано: 06 декабря 2019 18:08
· Личное сообщение · #6

Medsft, спасибо за подсказку, надо глянуть...



Ранг: 57.0 (постоянный), 10thx
Активность: 0.050.08
Статус: Участник

Создано: 10 декабря 2019 21:12
· Личное сообщение · #7

Такой вопрос:
есть mixed сборка. в dnspy вижу метод, который вызывает нативный код, переключаюсь на отображение IL кода, беру RVA этого метода и по этому адресу нахожу его в OllyDBG или IDA.
Но как сделать наоборот? Допустим нашел я в IDA функцию и как по ее адресу найти в dnSPY метод который вызывает ее? в общем как в dnspy можно перейти в методу зная его RVA? или может другой какой инструмент может сделать это



Ранг: 590.4 (!), 408thx
Активность: 0.360.18
Статус: Модератор

Создано: 10 декабря 2019 22:00
· Личное сообщение · #8

Наоборот там будет что-то вроде
jmp 60000001h
где 60000001 - токен вызываемлого метода. В днспай есть Goto Token...

-----
старый пень




Ранг: 57.0 (постоянный), 10thx
Активность: 0.050.08
Статус: Участник

Создано: 10 декабря 2019 22:17 · Поправил: zds
· Личное сообщение · #9

r_e
Goto Token знаю. Но как узнать токен по RVA? Искать в таблице методов? Но там больше 1500 методов и в таблице нельзя сделать сортировку по столбцу RVA

переход к коду из HEX окна также не работает для нативных методов



Ранг: 330.4 (мудрец), 334thx
Активность: 0.160.17
Статус: Участник
ILSpector Team

Создано: 11 декабря 2019 10:38
· Личное сообщение · #10

zds пишет:
Но как узнать токен по RVA?

https://exelab.ru/f/action=vthread&forum=3&topic=23387&page=-1#13

| Сообщение посчитали полезным: zds, mak

Ранг: 4.0 (гость)
Активность: 0.010
Статус: Участник

Создано: 14 января 2020 16:54
· Личное сообщение · #11

А что делает эта утилита?
https://forum.exetools.com/showthread.php?t=19219

Я было подумал что после ее использования можно посмотреть код методов скрытых последней Agile...




Ранг: 85.5 (постоянный), 16thx
Активность: 0.040.05
Статус: Участник

Создано: 27 января 2020 17:00
· Личное сообщение · #12

Обновил утилитку для восстановления динамических методов в Babel Obfuscator:
DeBabel
Добавил автоматическое восстановление строк.
После обработки рекомендую пропустить еще и через de4dot для свертки свитчкейсов и т.п.

9a53_27.01.2020_EXELAB.rU.tgz - debabel1.2.zip

| Сообщение посчитали полезным: CyberGod, sefkrd, TRPD, Medsft, plutos, igorcauret, HandMill, unitunit

Ранг: 590.4 (!), 408thx
Активность: 0.360.18
Статус: Модератор

Создано: 28 января 2020 14:44
· Личное сообщение · #13

В dnSpy есть возможность в окне Interactive C# через скрипт вывести значение объекта?
Если задаю через командную строку
> fields[0].GetValue(null)
 { Method=[Boolean op_Equality(System.String, System.String)], Target=null }
А вот в скрипте непонятно как получить тот же результат. Ни Console.Write, ни Debug.Print не работают. Нет консоли? В окне Output тоже ничего.

-----
старый пень





Ранг: 85.5 (постоянный), 16thx
Активность: 0.040.05
Статус: Участник

Создано: 28 января 2020 18:36
· Личное сообщение · #14

r_e
Посмотрите --> тут <--

| Сообщение посчитали полезным: r_e

Ранг: 2.8 (гость)
Активность: 00.01
Статус: Участник

Создано: 01 апреля 2020 00:05 · Поправил: haword
· Личное сообщение · #15

Здравствуйте.
Помогите узнать что за упаковщиком тут прошлись? хотя бы распаковать и получить исходник чтобы регистрацию сделать.

76d5_01.04.2020_EXELAB.rU.tgz - CL_Core.7z



Ранг: 88.2 (постоянный), 58thx
Активность: 0.110.04
Статус: Участник

Создано: 01 апреля 2020 00:15
· Личное сообщение · #16

haword
нужны еще файлы
Failed to resolve assembly: 'DevExpress.Utils.v10.2, Version=10.2.8.0, Culture=neutral, PublicKeyToken=b88d1754d700e49a'
Failed to resolve assembly: 'DevExpress.XtraGrid.v10.2, Version=10.2.8.0, Culture=neutral, PublicKeyToken=b88d1754d700e49a'
Failed to resolve assembly: 'DevExpress.XtraEditors.v10.2, Version=10.2.8.0, Culture=neutral, PublicKeyToken=b88d1754d700e49a'
Failed to resolve assembly: 'DevExpress.XtraBars.v10.2, Version=10.2.8.0, Culture=neutral, PublicKeyToken=b88d1754d700e49a'
Failed to resolve assembly: 'DevExpress.XtraLayout.v10.2, Version=10.2.8.0, Culture=neutral, PublicKeyToken=b88d1754d700e49a'
Failed to resolve assembly: 'DevExpress.XtraScheduler.v10.2.Core, Version=10.2.8.0, Culture=neutral, PublicKeyToken=b88d1754d700e49a'
Failed to resolve assembly: 'DevExpress.XtraReports.v10.2, Version=10.2.8.0, Culture=neutral, PublicKeyToken=b88d1754d700e49a'
Failed to resolve assembly: 'DirectShowLib-2005, Version=2.1.0.0, Culture=neutral, PublicKeyToken=67e7b740cdfc2d3f'

А так можешь расшифровать строки, тебе будет я думаю достаточно




Ранг: 253.5 (наставник), 684thx
Активность: 0.260.25
Статус: Участник
radical

Создано: 01 апреля 2020 03:42
· Личное сообщение · #17

Mishar_Hacker пишет:
нужны еще файлы

Дллка с этого софта: _ttp://yukosoft.ru/ServiceCenter.aspx
По-моему там реактор.

-----
ds




Ранг: 88.2 (постоянный), 58thx
Активность: 0.110.04
Статус: Участник

Создано: 01 апреля 2020 11:14
· Личное сообщение · #18

DimitarSerg
очень не похоже



Ранг: 9.2 (гость), 5thx
Активность: 0.06=0.06
Статус: Участник

Создано: 01 апреля 2020 22:38 · Поправил: vasilevradislav
· Личное сообщение · #19

Подскажите что за протектор и как анпакнуть пожалуйста
пароль infected,если что малвара,но c2 неактивны

123




Ранг: 55.9 (постоянный), 29thx
Активность: 0.120.22
Статус: Участник

Создано: 01 апреля 2020 23:26 · Поправил: Adler
· Личное сообщение · #20

vasilevradislav, а есть сомнения, что это Confuser?





Ранг: 2.8 (гость)
Активность: 00.01
Статус: Участник

Создано: 01 апреля 2020 23:51 · Поправил: haword
· Личное сообщение · #21

Mishar_Hacker
dll - https://www.upload.ee/files/11387417/dll.7z.html
я пытался всякими анпакерами распаковать но тот код где регистрация не показывается в dnspy ошибка парсинга. строки я распаковал через de4dot но до регистрации добраться немогу.



Ранг: 9.2 (гость), 5thx
Активность: 0.06=0.06
Статус: Участник

Создано: 02 апреля 2020 03:27
· Личное сообщение · #22

Adler пишет:
vasilevradislav, а есть сомнения, что это Confuser?

Ну а вы попробуйте открыть этот конфузер в днспае и увидите вмку поверх него



Ранг: 330.4 (мудрец), 334thx
Активность: 0.160.17
Статус: Участник
ILSpector Team

Создано: 02 апреля 2020 10:44
· Личное сообщение · #23

vasilevradislav пишет:
wierd.zip
- цель распаковки?



Ранг: 9.2 (гость), 5thx
Активность: 0.06=0.06
Статус: Участник

Создано: 02 апреля 2020 15:15
· Личное сообщение · #24

Medsft пишет:
цель распаковки?

изучить устройство внутри,но вирта и обфускатор этому мешает
цели пользоваться им во вред не имею,если вы это хотели спросить




Ранг: 253.5 (наставник), 684thx
Активность: 0.260.25
Статус: Участник
radical

Создано: 02 апреля 2020 16:12
· Личное сообщение · #25

Medsft
Мне тоже интересно что это такое, ни разу не видел, наверняка что-то интересное. И да, от него у меня ВМ в бсод улетает

-----
ds




Ранг: 6.7 (гость), 2thx
Активность: 0.01=0.01
Статус: Участник

Создано: 05 апреля 2020 22:04
· Личное сообщение · #26

Здравствуйте!
Есть прога, die говорит, что .NET Reactor(4.8-4.9)
de4dot вываливается с ошибкой. Чем лечить?

ERROR:
ERROR:
ERROR:
ERROR: ------------------------------------------------------------------------------
ERROR: Stack trace:
ERROR: в System.Security.Cryptography.RijndaelManagedTransform.TransformFinalBlock(Byte[] inputBuffer, Int32 inputOffset, Int32 inputCount)

ERROR: в de4dot.code.deobfuscators.DeobUtils.AesDecrypt(Byte[] data, Byte[] key, Byte[] iv) в d:\Users\Robert\Projects\de4dot-Installer\de4dot-3.1.41592\de4dot.code\deobfuscators\DeobUtils.cs:строка 87

ERROR: в de4dot.code.deobfuscators.dotNET_Reactor.v4.EncryptedResource.Decrypt() в d:\Users\Robert\Projects\de4dot-Installer\de4dot-3.1.41592\de4dot.code\deobfuscators\dotNET_Reactor\v4\EncryptedResource.cs:строка 169

ERROR: в de4dot.code.deobfuscators.dotNET_Reactor.v4.StringDecrypter.Initialize(MyPEImage peImage, Byte[] fileData, ISimpleDeobfuscator simpleDeobfuscator) в d:\Users\Robert\Projects\de4dot-Installer\de4dot-3.1.41592\de4dot.code\deobfuscators\dotNET_Reactor\v4\StringDecrypter.cs:строка 157

ERROR: в de4dot.code.deobfuscators.dotNET_Reactor.v4.Deobfuscator.DeobfuscateBegin() в d:\Users\Robert\Projects\de4dot-Installer\de4dot-3.1.41592\de4dot.code\deobfuscators\dotNET_Reactor\v4\Deobfuscator.cs:строка 494

ERROR: в de4dot.code.ObfuscatedFile.Deobfuscate() в d:\Users\Robert\Projects\de4dot-Installer\de4dot-3.1.41592\de4dot.code\ObfuscatedFile.cs:строка 408

ERROR: в de4dot.cui.FilesDeobfuscator.DeobfuscateAllFiles(IEnumerable`1 allFiles) в d:\Users\Robert\Projects\de4dot-Installer\de4dot-3.1.41592\de4dot.cui\FilesDeobfuscator.cs:строка 370

ERROR: в de4dot.cui.FilesDeobfuscator.DeobfuscateAll() в d:\Users\Robert\Projects\de4dot-Installer\de4dot-3.1.41592\de4dot.cui\FilesDeobfuscator.cs:строка 134

ERROR: в de4dot.cui.FilesDeobfuscator.DoIt() в d:\Users\Robert\Projects\de4dot-Installer\de4dot-3.1.41592\de4dot.cui\FilesDeobfuscator.cs:строка 91

ERROR: в de4dot.cui.Program.Main(String[] args) в d:\Users\Robert\Projects\de4dot-Installer\de4dot-3.1.41592\de4dot.cui\Program.cs:строка 81
ERROR:
ERROR:
ERROR: Caught an exception:
ERROR:
ERROR: ------------------------------------------------------------------------------
ERROR: Message:
ERROR: Недопустимая длина данных для дешифрования.
ERROR: Type:
ERROR: System.Security.Cryptography.CryptographicException
ERROR: ------------------------------------------------------------------------------
ERROR:
ERROR: Try the latest version before reporting this problem!
ERROR: Email me all files / installer: de4dot@gmail.com




Ранг: 55.9 (постоянный), 29thx
Активность: 0.120.22
Статус: Участник

Создано: 05 апреля 2020 23:39
· Личное сообщение · #27

ambro83 пишет:
Есть прога

Так где прога?

| Сообщение посчитали полезным: vasilevradislav

Ранг: 3.0 (гость)
Активность: 0=0
Статус: Участник

Создано: 07 апреля 2020 22:44
· Личное сообщение · #28

привет
на главной есть ссылка
CIL(опкоды с полным пояснениями) <--

может есть это же но на русском ?
так же ищу инфу CIL уроки и примеры на русском
Спасибо



Ранг: 103.1 (ветеран), 3thx
Активность: 0.070.01
Статус: Участник

Создано: 02 мая 2020 21:26 · Поправил: Styx
· Личное сообщение · #29

Подскажите, что за прот?
Но больше интересно, как восстановить методы вида или дебажить
License.Status.LoadLicense или CeliAPS.License.AssertValidLicenseOrTrial
тут якобы нопы и во время дебага, покрайней мере в dnSpy, ничего не меняется, но что-то происходит.

без инвентора эта хрень не работает, так что только экзешник, но если что выложу остальное.

--> https://dropmefiles.com/lg67g <--

-----
Crack your mind, save the planet




Ранг: 134.1 (ветеран), 246thx
Активность: 0.220.1
Статус: Участник
realist

Создано: 02 мая 2020 22:04
· Личное сообщение · #30

Styx
.NetReactor 5-6

| Сообщение посчитали полезным: Styx

Ранг: 10.0 (новичок), 4thx
Активность: 0.020
Статус: Участник

Создано: 03 мая 2020 14:11
· Личное сообщение · #31

А по последнему нет реактору есть туторы по ручной распаковке?Ну или какая нибудь информация?Или может кто de4dot уже пофиксил?

| Сообщение посчитали полезным: CyberGod
<< 1 ... 9 . 10 . 11 . 12 . 13 . 14 . 15 . 16 . >>
 eXeL@B —› Основной форум —› Взлом .NET (part 2)
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати