Со времени создания топика много обсудили, во много м разобрались и много осталось за кадром. Решил подшить выкладываемый софт и линки

Инструменты:

dnSpy - бодрый декомпилятор и отладчик тут беты

Gray Wolf - DE-ObfuScatE / Edit IL(Live) / Add payloads / Edit attributes(public/privet) / Copy strong names signing on EXE/DLL
ReSharper 6.0 Build 2093 Pre-Release - Очень навороченый декомпилер, побробности --> ТУТ <--.
Рег-данные:

Reflector 8.3.3.115 - платный декомпилятор .NET 8.3.0.95 + (дополнение к нему)
Седьмая версия рефлектора - думаю все знают
Сборка Add-in'ов для Reflector - есть много полезных вещей
.Net ID 1.0.0.3 - определение защиты
DNiD by Rue - сигнатурный анализатор
Dotnet IL Editor (DILE)- Opensource дизассемблер и дебаггер
Xenocode Fox Code Analyzer- профайлер и дизассемблер
Reactor Decryptor 1.7 - что то декриптит, но что не понятно(с) zeppe1in
Simple Assembly Explor (SAE) - Assembler, Disassembler, Deobfuscator, IL editor and more...
DotNet Dumper 1.0 - Дампер .net'овских приложений. Подробное описание
Kurapica dotNET Tracer 1.1 - трейсер от известного автора инструментов для .net
ILSpy 1.0.0.481 - Opensource комбайн, на подобие SAE. Подробности тут
dotTrace Performance 4.0.665.4 - Неплохой трейсер для .Net приложений. Умеет делать трейсы не смешивая потоки как KDT. Умеет сравнивать трейсы двух запусков программы
Рег-данные:

Universal Fixer 1.0 - fix dumps after dumping them whit Dotnet Dumper or other similiar tools and will also fix nasty things: multiple assembly/module definitions, wrong extends, etc.
iMPROVE .NET Deobfuscator - деобфускатор


ConfuserDumper
ConfuserDelegateKiller
CodeCrackerTools: ConfuserMethodsDecryptor, ConfuserDelegateKiller, ConfuserStringDecryptor, MegaDumper, etc.

Документация:
--> Microsoft <--
--> Metadata and File Format <--
--> CIL(опкоды с полным пояснениями) <--

Статьи с хабры:
Защита .NET приложений - Субъективная теоретическая муть с хабры, выдаваемая за обзор обфускаторов(только для фанатов)
Как обмануть NET.Reflector - вот это уже годная статья, в которой рассматривается ручная обфускация в стихах и картинках
Взлом программ для чайников - ну не знаю...прописные истины, но приятно, что все это есть на русском языке и нормально оформлено
Реверс-инжиниринг обфусцированной сборки .NET - один только заголовок чего стоит. По сути статья информативная
Инъекции MSIL кода в стороннюю сборку при помощи Mono.Cecil. Реализация принципов АОП в NET
Избавление .NET программы от регистрации на примере BEM
Снимаем дамп объектов с памяти .Net приложения

Другое:
.NET Reflector v7.0.0.198 (C# Source by wangshy)
String decryption with de4dot

Прошлый топик https://exelab.ru/f/action=vthread&forum=1&topic=16650&page=-1

-

Last edit: 2012-02-17, Links fixed. Jupiter

| Сообщение посчитали полезным: prorab777, ViruSZ7

Помогите, пожалуйста распаковать .NET Reactor.

Попробовал использовать .NET Reactor v4.9 mod by PC-RET и Support .Net Reactor5.0.0.0 Fixed By Wuhensoft
без доп. ключей не помогает может это вообще не .NET Reactor?





--> Core.dll.7z <--

| Сообщение посчитали полезным:

Odin
--> Link <--

| Сообщение посчитали полезным: Odin, igorcauret

Как добавить ссылку на сборку в сборку?
Можно ли это сделать не объединяя со входящей (другой) сборкой?


| Сообщение посчитали полезным:

Как добавить ссылку на сборку в сборку? cм тему про ILSpector (он умеет добавлять референс)

| Сообщение посчитали полезным:

Medsft, спасибо за подсказку, надо глянуть...

| Сообщение посчитали полезным:

Такой вопрос:
есть mixed сборка. в dnspy вижу метод, который вызывает нативный код, переключаюсь на отображение IL кода, беру RVA этого метода и по этому адресу нахожу его в OllyDBG или IDA.
Но как сделать наоборот? Допустим нашел я в IDA функцию и как по ее адресу найти в dnSPY метод который вызывает ее? в общем как в dnspy можно перейти в методу зная его RVA? или может другой какой инструмент может сделать это

| Сообщение посчитали полезным:

Наоборот там будет что-то вроде
jmp 60000001h
где 60000001 - токен вызываемлого метода. В днспай есть Goto Token...

-----
старый пень

| Сообщение посчитали полезным:

r_e
Goto Token знаю. Но как узнать токен по RVA? Искать в таблице методов? Но там больше 1500 методов и в таблице нельзя сделать сортировку по столбцу RVA

переход к коду из HEX окна также не работает для нативных методов

| Сообщение посчитали полезным:

zds пишет:
Но как узнать токен по RVA?
https://exelab.ru/f/action=vthread&forum=3&topic=23387&page=-1#13

| Сообщение посчитали полезным: zds, mak

А что делает эта утилита?
https://forum.exetools.com/showthread.php?t=19219

Я было подумал что после ее использования можно посмотреть код методов скрытых последней Agile...

| Сообщение посчитали полезным:

Обновил утилитку для восстановления динамических методов в Babel Obfuscator:
DeBabel
Добавил автоматическое восстановление строк.
После обработки рекомендую пропустить еще и через de4dot для свертки свитчкейсов и т.п.

9a53_27.01.2020_EXELAB.rU.tgz - debabel1.2.zip

| Сообщение посчитали полезным: CyberGod, sefkrd, TRPD, Medsft, plutos, igorcauret, HandMill, unitunit

В dnSpy есть возможность в окне Interactive C# через скрипт вывести значение объекта?
Если задаю через командную строку
> fields[0].GetValue(null)
 { Method=[Boolean op_Equality(System.String, System.String)], Target=null }
А вот в скрипте непонятно как получить тот же результат. Ни Console.Write, ни Debug.Print не работают. Нет консоли? В окне Output тоже ничего.

-----
старый пень

| Сообщение посчитали полезным:

r_e
Посмотрите --> тут <--

| Сообщение посчитали полезным: r_e

Здравствуйте.
Помогите узнать что за упаковщиком тут прошлись? хотя бы распаковать и получить исходник чтобы регистрацию сделать.

76d5_01.04.2020_EXELAB.rU.tgz - CL_Core.7z

| Сообщение посчитали полезным:

haword
нужны еще файлы
Failed to resolve assembly: 'DevExpress.Utils.v10.2, Version=10.2.8.0, Culture=neutral, PublicKeyToken=b88d1754d700e49a'
Failed to resolve assembly: 'DevExpress.XtraGrid.v10.2, Version=10.2.8.0, Culture=neutral, PublicKeyToken=b88d1754d700e49a'
Failed to resolve assembly: 'DevExpress.XtraEditors.v10.2, Version=10.2.8.0, Culture=neutral, PublicKeyToken=b88d1754d700e49a'
Failed to resolve assembly: 'DevExpress.XtraBars.v10.2, Version=10.2.8.0, Culture=neutral, PublicKeyToken=b88d1754d700e49a'
Failed to resolve assembly: 'DevExpress.XtraLayout.v10.2, Version=10.2.8.0, Culture=neutral, PublicKeyToken=b88d1754d700e49a'
Failed to resolve assembly: 'DevExpress.XtraScheduler.v10.2.Core, Version=10.2.8.0, Culture=neutral, PublicKeyToken=b88d1754d700e49a'
Failed to resolve assembly: 'DevExpress.XtraReports.v10.2, Version=10.2.8.0, Culture=neutral, PublicKeyToken=b88d1754d700e49a'
Failed to resolve assembly: 'DirectShowLib-2005, Version=2.1.0.0, Culture=neutral, PublicKeyToken=67e7b740cdfc2d3f'

А так можешь расшифровать строки, тебе будет я думаю достаточно

| Сообщение посчитали полезным:

Mishar_Hacker пишет:
нужны еще файлы
Дллка с этого софта: _ttp://yukosoft.ru/ServiceCenter.aspx
По-моему там реактор.

-----
ds

| Сообщение посчитали полезным:

DimitarSerg
очень не похоже

| Сообщение посчитали полезным:

Подскажите что за протектор и как анпакнуть пожалуйста
пароль infected,если что малвара,но c2 неактивны

123

| Сообщение посчитали полезным:

vasilevradislav, а есть сомнения, что это Confuser?



| Сообщение посчитали полезным:

Mishar_Hacker
dll - https://www.upload.ee/files/11387417/dll.7z.html
я пытался всякими анпакерами распаковать но тот код где регистрация не показывается в dnspy ошибка парсинга. строки я распаковал через de4dot но до регистрации добраться немогу.

| Сообщение посчитали полезным:

Adler пишет:
vasilevradislav, а есть сомнения, что это Confuser?
Ну а вы попробуйте открыть этот конфузер в днспае и увидите вмку поверх него

| Сообщение посчитали полезным:

vasilevradislav пишет:
wierd.zip - цель распаковки?

| Сообщение посчитали полезным:

Medsft пишет:
цель распаковки?
изучить устройство внутри,но вирта и обфускатор этому мешает
цели пользоваться им во вред не имею,если вы это хотели спросить

| Сообщение посчитали полезным:

Medsft
Мне тоже интересно что это такое, ни разу не видел, наверняка что-то интересное. И да, от него у меня ВМ в бсод улетает

-----
ds

| Сообщение посчитали полезным:

Здравствуйте!
Есть прога, die говорит, что .NET Reactor(4.8-4.9)
de4dot вываливается с ошибкой. Чем лечить?

ERROR:
ERROR:
ERROR:
ERROR: ------------------------------------------------------------------------------
ERROR: Stack trace:
ERROR: в System.Security.Cryptography.RijndaelManagedTransform.TransformFinalBlock(Byte[] inputBuffer, Int32 inputOffset, Int32 inputCount)

ERROR: в de4dot.code.deobfuscators.DeobUtils.AesDecrypt(Byte[] data, Byte[] key, Byte[] iv) в d:\Users\Robert\Projects\de4dot-Installer\de4dot-3.1.41592\de4dot.code\deobfuscators\DeobUtils.cs:строка 87

ERROR: в de4dot.code.deobfuscators.dotNET_Reactor.v4.EncryptedResource.Decrypt() в d:\Users\Robert\Projects\de4dot-Installer\de4dot-3.1.41592\de4dot.code\deobfuscators\dotNET_Reactor\v4\EncryptedResource.cs:строка 169

ERROR: в de4dot.code.deobfuscators.dotNET_Reactor.v4.StringDecrypter.Initialize(MyPEImage peImage, Byte[] fileData, ISimpleDeobfuscator simpleDeobfuscator) в d:\Users\Robert\Projects\de4dot-Installer\de4dot-3.1.41592\de4dot.code\deobfuscators\dotNET_Reactor\v4\StringDecrypter.cs:строка 157

ERROR: в de4dot.code.deobfuscators.dotNET_Reactor.v4.Deobfuscator.DeobfuscateBegin() в d:\Users\Robert\Projects\de4dot-Installer\de4dot-3.1.41592\de4dot.code\deobfuscators\dotNET_Reactor\v4\Deobfuscator.cs:строка 494

ERROR: в de4dot.code.ObfuscatedFile.Deobfuscate() в d:\Users\Robert\Projects\de4dot-Installer\de4dot-3.1.41592\de4dot.code\ObfuscatedFile.cs:строка 408

ERROR: в de4dot.cui.FilesDeobfuscator.DeobfuscateAllFiles(IEnumerable`1 allFiles) в d:\Users\Robert\Projects\de4dot-Installer\de4dot-3.1.41592\de4dot.cui\FilesDeobfuscator.cs:строка 370

ERROR: в de4dot.cui.FilesDeobfuscator.DeobfuscateAll() в d:\Users\Robert\Projects\de4dot-Installer\de4dot-3.1.41592\de4dot.cui\FilesDeobfuscator.cs:строка 134

ERROR: в de4dot.cui.FilesDeobfuscator.DoIt() в d:\Users\Robert\Projects\de4dot-Installer\de4dot-3.1.41592\de4dot.cui\FilesDeobfuscator.cs:строка 91

ERROR: в de4dot.cui.Program.Main(String[] args) в d:\Users\Robert\Projects\de4dot-Installer\de4dot-3.1.41592\de4dot.cui\Program.cs:строка 81
ERROR:
ERROR:
ERROR: Caught an exception:
ERROR:
ERROR: ------------------------------------------------------------------------------
ERROR: Message:
ERROR: Недопустимая длина данных для дешифрования.
ERROR: Type:
ERROR: System.Security.Cryptography.CryptographicException
ERROR: ------------------------------------------------------------------------------
ERROR:
ERROR: Try the latest version before reporting this problem!
ERROR: Email me all files / installer: de4dot@gmail.com

| Сообщение посчитали полезным:

ambro83 пишет:
Есть прога
Так где прога?

| Сообщение посчитали полезным: vasilevradislav

привет
на главной есть ссылка
CIL(опкоды с полным пояснениями) <--

может есть это же но на русском ?
так же ищу инфу CIL уроки и примеры на русском
Спасибо

| Сообщение посчитали полезным:

Подскажите, что за прот?
Но больше интересно, как восстановить методы вида или дебажить
License.Status.LoadLicense или CeliAPS.License.AssertValidLicenseOrTrial
тут якобы нопы и во время дебага, покрайней мере в dnSpy, ничего не меняется, но что-то происходит.

без инвентора эта хрень не работает, так что только экзешник, но если что выложу остальное.

--> https://dropmefiles.com/lg67g <--

-----
Crack your mind, save the planet

| Сообщение посчитали полезным:

Styx
.NetReactor 5-6

| Сообщение посчитали полезным: Styx

А по последнему нет реактору есть туторы по ручной распаковке?Ну или какая нибудь информация?Или может кто de4dot уже пофиксил?

| Сообщение посчитали полезным: CyberGod