Со времени создания топика много обсудили, во много м разобрались и много осталось за кадром. Решил подшить выкладываемый софт и линки

Инструменты:

dnSpy - бодрый декомпилятор и отладчик тут беты

Gray Wolf - DE-ObfuScatE / Edit IL(Live) / Add payloads / Edit attributes(public/privet) / Copy strong names signing on EXE/DLL
ReSharper 6.0 Build 2093 Pre-Release - Очень навороченый декомпилер, побробности --> ТУТ <--.
Рег-данные:

Reflector 8.3.3.115 - платный декомпилятор .NET 8.3.0.95 + (дополнение к нему)
Седьмая версия рефлектора - думаю все знают
Сборка Add-in'ов для Reflector - есть много полезных вещей
.Net ID 1.0.0.3 - определение защиты
DNiD by Rue - сигнатурный анализатор
Dotnet IL Editor (DILE)- Opensource дизассемблер и дебаггер
Xenocode Fox Code Analyzer- профайлер и дизассемблер
Reactor Decryptor 1.7 - что то декриптит, но что не понятно(с) zeppe1in
Simple Assembly Explor (SAE) - Assembler, Disassembler, Deobfuscator, IL editor and more...
DotNet Dumper 1.0 - Дампер .net'овских приложений. Подробное описание
Kurapica dotNET Tracer 1.1 - трейсер от известного автора инструментов для .net
ILSpy 1.0.0.481 - Opensource комбайн, на подобие SAE. Подробности тут
dotTrace Performance 4.0.665.4 - Неплохой трейсер для .Net приложений. Умеет делать трейсы не смешивая потоки как KDT. Умеет сравнивать трейсы двух запусков программы
Рег-данные:

Universal Fixer 1.0 - fix dumps after dumping them whit Dotnet Dumper or other similiar tools and will also fix nasty things: multiple assembly/module definitions, wrong extends, etc.
iMPROVE .NET Deobfuscator - деобфускатор


ConfuserDumper
ConfuserDelegateKiller
CodeCrackerTools: ConfuserMethodsDecryptor, ConfuserDelegateKiller, ConfuserStringDecryptor, MegaDumper, etc.

Документация:
--> Microsoft <--
--> Metadata and File Format <--
--> CIL(опкоды с полным пояснениями) <--

Статьи с хабры:
Защита .NET приложений - Субъективная теоретическая муть с хабры, выдаваемая за обзор обфускаторов(только для фанатов)
Как обмануть NET.Reflector - вот это уже годная статья, в которой рассматривается ручная обфускация в стихах и картинках
Взлом программ для чайников - ну не знаю...прописные истины, но приятно, что все это есть на русском языке и нормально оформлено
Реверс-инжиниринг обфусцированной сборки .NET - один только заголовок чего стоит. По сути статья информативная
Инъекции MSIL кода в стороннюю сборку при помощи Mono.Cecil. Реализация принципов АОП в NET
Избавление .NET программы от регистрации на примере BEM
Снимаем дамп объектов с памяти .Net приложения

Другое:
.NET Reflector v7.0.0.198 (C# Source by wangshy)
String decryption with de4dot

Прошлый топик https://exelab.ru/f/action=vthread&forum=1&topic=16650&page=-1

-

Last edit: 2012-02-17, Links fixed. Jupiter

| Сообщение посчитали полезным: prorab777, ViruSZ7

sendersu ну почему так сразу то) последний peid показывает что там ее(фимы) нет. h__p://dropmefiles.com/SQ1aP

Добавлено спустя 3 минуты
сама эта dll чекает jit проверяет наличие отладчиков.
Давай чувак) запатчишь эти места и вернешь) я тебя не забуду)

Добавлено спустя 10 минут
(Но что то там навешано на нее (agile..dll ) все же.

| Сообщение посчитали полезным:

Medsft пишет:
ну почему так сразу то) последний peid показывает что там ее(фимы) нет. h__p://dropmefiles.com/SQ1aP

В пакете Agile.NET фемида навешена на про версию.
AgileDotNetRTPro.dll (AgileDotNetRT64Pro.dll)
Вот версия 6.3.0.5:
_h_t_t_p_s_://fex.net/#!532516462159

| Сообщение посчитали полезным:

dnSpy v4.5.0-beta
Added a Unity debug engine, see the wiki

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным: ajax, CyberGod, Jaa, SReg, mak

ILSpy (iMHO) имеет одно из лучших двиглов декомпиля на моменте (dnSpy пользует еще старую ветку ильспая)

https://github.com/icsharpcode/ILSpy/releases
nuget https://www.nuget.org/packages/ICSharpCode.Decompiler/
vs ext https://marketplace.visualstudio.com/items?itemName=icsharpcode.ilspy-vscode

| Сообщение посчитали полезным: mak

sendersu пишет:
uget https://www.nuget.org/packages/ICSharpCode.Decompiler/ - залез поглядеть, правила декомпиляции стали еще жестче, чуть обфускации падает наглухо. Поправить можно но это пока бетка, хрен знает чего они еще изменят в двиглах. А так typed IL прикольный.. чтото типа ida-шный выхлоп сишника.

| Сообщение посчитали полезным:

freudz пишет:
Хай, ALL

У кого-нить есть AgileDotNetRT.dll версии ниже 6.5.0.2 (6.х)

http://dropmefiles.com/5g9FP

SecureTeam 6.1.4
SecureTeam 6.2.0.7
SecureTeam 6.3.0.05
SecureTeam 6.3.0.10
SecureTeam 6.3.0.19
SecureTeam 6.4.0.1
AgileDotNetCPInstaller.exe - 6.3.2.0
AgileDotNetInstaller.exe - 6.3.0.17

| Сообщение посчитали полезным: Medsft, freudz

sendersu пишет:
dnSpy пользует еще старую ветку ильспая
Он насколько я понял использует для декомпиляции dnlib, что позволяет разбирать сильно похеренные обфускаторами вещи, с чем не справляется движок ILSpy.
Возможно что-то понял не так.

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

4kusNick
ILSpy используется как декомпилятор (IL->*). dnlib вроде только для разбора сборок на составные.

-----
старый пень

| Сообщение посчитали полезным:

4kusNick пишет:
Он насколько я понял использует для декомпиляции dnlib
dnlib - разработка автора, наверное самая крутая дот нет библиотека по чтению-записи дот нет сборок включая все что только можно. Писалась спецом как замена хлипкой библиотеки Mono.Cecil для самого мощного деобфускатора - de4dot

для декомпиляции же IL -> C# используется двиг ILSpy (насколько я вижу еще старая ветка, что не умеет анализировать CompilerGenerated stuff)

| Сообщение посчитали полезным:

4kusNick r_e sendersu
Дети мои не спорьте.
Обратите взоры свои на сей скрин, где обведенное мной уже по смыслу напоминает тему вашего обсуждения
h__p://prntscr.com/hntybh эти компоненты присутствуют и там и там. Не позорьте)

Добавлено спустя 3 минуты
dnlib и mono.cecil - друг от друга ничем не отличаться их задача прочитать сборку и все.
p.s. mono.cecil естественно в моей редакции)))

| Сообщение посчитали полезным: sefkrd

Ага, соряныч, почему-то решил что dnlib ещё и для декомпиляции IL, а не только парсинга ассембли.
Столько хороших инструментов вокруг! =)

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

uncleua
Благодарствуйте за аджайл!
Попробую разных версий библиотеки.

На текущий момент мне удалось снять themida/winlicense с AgileDotNetRT.dll 6.5.0.2 с помощью скрипта LCF-AT с комбинацией различных опций. 32битную версию конечно, ибо к 64битной пока не знаю как подойти даже.

Получается таргет распаковывает эту рантайм либу в темп директорию и не оверрайтит ее, если там файл уже есть. Это позволило подменять AgileDotNetRT.dll перед распаковкой/деобфускацией de4dot.

Теперь de4dot падает уже в другом месте (ранее не могло хукнуть CompileMethod):


Я чего-то сомневаюсь правильно ли распакована рантайм длл (однако проверял loaddll.exe из олли - грузит)... Значит ли подобный эксепшен, что de4dot просто не знает как новый Agile.NET обрабатывать?

Направьте пожалуйста куда дальше рыть... может я вообще по ложному пути пошел...

| Сообщение посчитали полезным:

i need this version my friends



| Сообщение посчитали полезным:

freudz
ес-но не знает, agile свежее, чем он саппортит

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным: freudz

ajax
дык, можешь пнуть в нужном направлении куда рыть? =)
разбирать новые крипт\декрипты из сдампленой длл?
или есть более простой метод?

| Сообщение посчитали полезным:

freudz
вроде очевидно, зависит от цели - либо разбирать VM и допиливать дедот, если нужен алго, либо искать дырку в конкретном софте, чтобы зарегать, не трогая VM.
забыл, что за софт копаете. забейте, там алгоритмы в ключе, если помню правильно

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

ajax пишет:
забейте, там алгоритмы в ключе, если помню правильно
это и хочу посмотреть. реализацию. =)

если возвращаться к теме Agile.NET, Вам каким образом удалось получить чистый код? Опять же, разбирали ВМ и уже модифицировали de4dot? Или каким другим способом смогли? Натолкните на мысль...

| Сообщение посчитали полезным:

freudz скажи мне пожалуйста а de4dot пустить под дебагом не судьба?

Посмотри на каком этапе падает то? Что сюда ошибки которые выплевавает дед писать ...
На данный момент дед знает 6 версий виртуальных машин agile но по мне так он у тебя не доходит до использования девирт.методов.
Доходит у тебя до детекта машины или нет?

| Сообщение посчитали полезным: freudz

--> Link <--

The dnSpy repository may have been compromised. All previous releases have been removed, and the repository is currently archived on GitHub.

https://github.com/0xd4d/dnSpy

Beware.

| Сообщение посчитали полезным:

Apocalypse
Не поддавайтесь паническим настроениям отдельных граждан, все хорошо.

I set it to read-only because I didn't plan on updating it for a while and didn't want to get any more issues (you can't set it to read-only, just enable/disable it)

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным: sefkrd

Apocalypse пишет:
--> Link <--

--
Sorry, that page does’t exist!
--
утка?

| Сообщение посчитали полезным:

sendersu
Нет, не паштет(утиный) ..
Я читал его..
Ничего особенного..
У человека случилась паническая атака..

| Сообщение посчитали полезным:

dll накрыта СliSecure и CryptoObfuscator
Первое снимается после декрипта строк. Второй валится на обычном де4дот с ошибкой ресурса, фикшеный де4дот валится просто без сообщений.

bed8_24.12.2017_EXELAB.rU.tgz - PoloniexDemoStart-Decrypted-cleaned.dll

| Сообщение посчитали полезным:

Есть ничем незашишенное приложение. Собрано под 64 бита. ildasm/ilasm пересобирает в 32 бита вроде без проблем. Но при запуске оно валится. Ругается на то что не может загрузить какой-то файл. Ситуация похожа на ту, которая возникает, когда версия FrameWork'а использованная при сборке выше, чем доступная в ОС. Это как-то решаемо? Пробовал сравнить два il файла после ildasm. Взял второй от самого простого приложения написанного на C#. Отличий особых вроде бы и нет. Они видимо есть, но я их не вижу. Сборку вообще можно конвертировать как-то?

| Сообщение посчитали полезным:

JohnyDoe
Создай vs проект с помощью dnspy, и можешь пересобрать как угодно..

| Сообщение посчитали полезным:

sefkrd
Ага, понял, что просто так не выйдет. Нужно для начала внести правки относительно несовместимости с текущим фреймворком.

| Сообщение посчитали полезным:

freudz поделитесь пожалуйста чистым AgileDotNetRT.dll 6.4.0.29 без Themida.
Или подскажите, как можно убедить Themid-у не падать при виде отладчика в Visual Studio?
Пробовал чистить AgileDotNetRT.dll от Themida скриптами от LCF-AT, но все впустую, библиотека выходит неработоспособной, может потому что там цифровая подпись была, или скрипты криво настроил, подскажите настройки для LCF-AT пожалуйста.
Вот собственно сам AgileDotNetRT.dll 6.4.0.29 под Themida http://rgho.st/7sZc5MNy2

| Сообщение посчитали полезным:

ronin0x0 пишет:
freudz поделитесь пожалуйста чистым AgileDotNetRT.dll 6.4.0.29 без Themida. присоединяюсь!

| Сообщение посчитали полезным:

И что господа никто NET сообщество осчастливить не хочет с AgileDotNetRT.dll фимку снять?)))

| Сообщение посчитали полезным:

Medsft,ronin0x0

Комрады, я работал с 6.5.0.2.
Залил сюда: _h_t_t_p_s_://fex.net/#!517678833289

За работоспособность не ручаюсь, ибо таргет был 64бита и юзал анменеджед либы, так что пришлось несколько по другому решать... =))

| Сообщение посчитали полезным: JohnDow