Со времени создания топика много обсудили, во много м разобрались и много осталось за кадром. Решил подшить выкладываемый софт и линки

Инструменты:

dnSpy - бодрый декомпилятор и отладчик тут беты

Gray Wolf - DE-ObfuScatE / Edit IL(Live) / Add payloads / Edit attributes(public/privet) / Copy strong names signing on EXE/DLL
ReSharper 6.0 Build 2093 Pre-Release - Очень навороченый декомпилер, побробности --> ТУТ <--.
Рег-данные:

Reflector 8.3.3.115 - платный декомпилятор .NET 8.3.0.95 + (дополнение к нему)
Седьмая версия рефлектора - думаю все знают
Сборка Add-in'ов для Reflector - есть много полезных вещей
.Net ID 1.0.0.3 - определение защиты
DNiD by Rue - сигнатурный анализатор
Dotnet IL Editor (DILE)- Opensource дизассемблер и дебаггер
Xenocode Fox Code Analyzer- профайлер и дизассемблер
Reactor Decryptor 1.7 - что то декриптит, но что не понятно(с) zeppe1in
Simple Assembly Explor (SAE) - Assembler, Disassembler, Deobfuscator, IL editor and more...
DotNet Dumper 1.0 - Дампер .net'овских приложений. Подробное описание
Kurapica dotNET Tracer 1.1 - трейсер от известного автора инструментов для .net
ILSpy 1.0.0.481 - Opensource комбайн, на подобие SAE. Подробности тут
dotTrace Performance 4.0.665.4 - Неплохой трейсер для .Net приложений. Умеет делать трейсы не смешивая потоки как KDT. Умеет сравнивать трейсы двух запусков программы
Рег-данные:

Universal Fixer 1.0 - fix dumps after dumping them whit Dotnet Dumper or other similiar tools and will also fix nasty things: multiple assembly/module definitions, wrong extends, etc.
iMPROVE .NET Deobfuscator - деобфускатор


ConfuserDumper
ConfuserDelegateKiller
CodeCrackerTools: ConfuserMethodsDecryptor, ConfuserDelegateKiller, ConfuserStringDecryptor, MegaDumper, etc.

Документация:
--> Microsoft <--
--> Metadata and File Format <--
--> CIL(опкоды с полным пояснениями) <--

Статьи с хабры:
Защита .NET приложений - Субъективная теоретическая муть с хабры, выдаваемая за обзор обфускаторов(только для фанатов)
Как обмануть NET.Reflector - вот это уже годная статья, в которой рассматривается ручная обфускация в стихах и картинках
Взлом программ для чайников - ну не знаю...прописные истины, но приятно, что все это есть на русском языке и нормально оформлено
Реверс-инжиниринг обфусцированной сборки .NET - один только заголовок чего стоит. По сути статья информативная
Инъекции MSIL кода в стороннюю сборку при помощи Mono.Cecil. Реализация принципов АОП в NET
Избавление .NET программы от регистрации на примере BEM
Снимаем дамп объектов с памяти .Net приложения

Другое:
.NET Reflector v7.0.0.198 (C# Source by wangshy)
String decryption with de4dot

Прошлый топик https://exelab.ru/f/action=vthread&forum=1&topic=16650&page=-1

-

Last edit: 2012-02-17, Links fixed. Jupiter

| Сообщение посчитали полезным: prorab777, ViruSZ7

mazaxaker --> Link <--

| Сообщение посчитали полезным:

SReg, dotTacer пробовал, но он не логирует значения параметров и возвращаемые значения. Не знаешь какую-нибудь прогу, чтобы еще значения параметров выдавал.

| Сообщение посчитали полезным:

mazaxaker ну я не нашел, о чем там и написано. стало быть нету.
SReg пишет:
Да, это я все видел, но это не то что требуется. Хотелось бы видеть значения параметров до/после выполнения метода.

| Сообщение посчитали полезным:

Вы че пацаны товарищу "mazaxaker" мозг парите))). Чувак глядит на сборку через призму dnspy а он именно в utf-8 превращает нечитаемые имена.... еще раз: это dnspy так отбражает нечитаемые символы а не протектор так их наименовал.

| Сообщение посчитали полезным:

Medsft, а чем прогнать, чтобы utf символы названия методов, классов переименовал во что-то типа class1 и так далее. А то просто из-за этих \u0001 dnspy не хочет изменения компилить.

| Сообщение посчитали полезным:

OMFG, так вы еще и через dnspy собираетесь патчить и перекомпилировать? А кто не обломался, тем еще предстоит...

| Сообщение посчитали полезным:

mazaxaker пишет:
а чем прогнать тут вопрос гораздо серьезней.Опишу причины при которых нельзя применять переименование в сборке.
1. Новые имена объектов используются в механизме защиты сборки
2. Сборка использует для своего графического интерфейса механизмы xaml.
3. Обфускатор довольно крутой и смог сделать переименование паблик классов которые используются в других зависимых сборках.
Если эти 3 причины исключены то можно довольно смело переименовывать кучей имеющихся на паблике переименователей. (SAE, dedot, ILSpector, simple deobfuscator и т.д.). Другой вопрос позволит ли измененная метадата сохранить изменения, а это уже другая тема для разговоров.
mazaxaker пишет:
А то просто из-за этих \u0001 dnspy не хочет изменения компилить Воот собственно и другая тема подоспела.Dnspy`ю полный пох на то как называются объекты сборки ему не пох на испорченную протектором метадату сборки.

Добавлено спустя 2 минуты
_MBK_ пишет:
через dnspy собираетесь патчить и перекомпилировать? иногда можно если осторожно.

| Сообщение посчитали полезным:

Medsft, а как в dnspy перетаскивать указатель текущей инструкции в другой класс. У меня типа есть класс с методами, которые выполняются только когда устройство подключено к компу, а мне хочется просто перетащить указатель инструкции в те методы, но dnspy отказывается перетаскивать именно в другой класс. Не знаешь как это сделать ?

| Сообщение посчитали полезным:

mazaxaker пишет:
а как в dnspy перетаскивать указатель текущей инструкции в другой класс никак по простому НО решение близко: найди место где сборка проверяет подключение к устройству и там пропачь вызов

| Сообщение посчитали полезным:

_MBK_ пишет:
OMFG, так вы еще и через dnspy собираетесь патчить и перекомпилировать? А кто не обломался, тем еще предстоит...
Да ладно, пух на себя накидывать..
dnspy отлично работает в hex..

| Сообщение посчитали полезным:

Medsft, еще не знаешь ли, прога использует xaml файлики для интерфейса, в чем бы их в виде картинок можно смотреть. Пробовал visual studio, но она как-то криво это делает. Нет ли по лучше проги. Основная цель просмотр интерфейса, нахождение интересных кнопок и потом поиск их обработчиков в коде по их id в xaml.

| Сообщение посчитали полезным:

Парни, а есть генератор патчей для .NET? Типа как DUP, но чтоб дизасмил IL, чтоб более точно искал место патча (DUP дизасмит код, а не IL, а потому не подходит).

-----
SaNX

| Сообщение посчитали полезным:

Был когда-то whoknows NET Patcher (<- v0.7) - последняя версия v0.8c или v0.8v за 2015, только скачать его негде, кроме как у китайцев или арабов.

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным: SaNX

SaNX пишет:
Парни, а есть генератор патчей для .NET? а по этому форуму поискать не судьба (см. мои посты :s8

Добавлено спустя 4 минуты
mazaxaker пишет:
еще не знаешь ли, прога использует xaml файлики для интерфейса, я их изучаю в текстовом редакторе )) да и формы рисую тоже в текстовом редакторе.

| Сообщение посчитали полезным:

.NET Patcher library using dnlib

dnpatch is the ultimate library for all your .NET patching needs. It offers automated assembly patching, signature scanning and last but but not least bypassing of obfuscators by its ability to find methods in renamed/obfuscated types. Since the stars on GitHub exploded in a few days, dnpatch has been extended by a couple of projects. The most important one is dnpatch.deobfuscation which integrates de4dot directly into dnpatch. Also there is dnpatch.script, which gives you the ability to write patchers with pure JSON! The library itself uses dnlib (see next part).



Добавлено спустя 33 минуты
mysterio пишет:
Был когда-то whoknows NET Patcher (<- v0.7) - последняя версия v0.8c или v0.8v за 2015, только скачать его негде, кроме как у китайцев или арабов.

wNP.v0.8v.patch.shield-whoknows --> Link <--

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным: SaNX, mysterio, sefkrd

Medsft пишет:
а по этому форуму поискать не судьба (см. мои посты :s8
нашел только .NET patcher - но это совсем не то, что мне надо

Добавлено спустя 4 минуты
mysterio пишет:
Был когда-то whoknows NET Patcher (<- v0.7)
неплохо, но он без search&replace, вроде как (

-----
SaNX

| Сообщение посчитали полезным:

Коллеги, кто подскажет как в дот нет миксед моде сборке найти куда (адрес) ведет опкод calli (из дот нета в натив)?

| Сообщение посчитали полезным:

sendersu
Каким софтом изучаешь таргет?

| Сообщение посчитали полезным:

dnSpy вестимо...

| Сообщение посчитали полезным:

Адреса не увидишь..
Можешь видеть вызываемый модуль с параметрами..
Обычно, ловлю ответ..
Если в теме с опкодами и мемори картой - проблем не составит..

| Сообщение посчитали полезным:

sendersu пишет:
Коллеги, кто подскажет как в дот нет миксед моде сборке найти куда (адрес) ведет опкод calli \
sefkrd пишет:
Адреса не увидишь..

Даа господа.... легких путей не ищем, в ILSpectore поставить breakpoint посмотреть файлик который приготовил он для olly и в нем увидеть адрес ну так сложно.

| Сообщение посчитали полезным: mak

Проблемка....
ILSpectore
64бит сборки никак?

| Сообщение посчитали полезным:

Товарищи помогите пожалуйста, уже кучу программ скачал и множество способов попробовал (2 xD потому что только 2 видео на ютубе по этому). Суть в чём: есть программка(чит) её запакавали Confuser Ex. Делаю всё вроде правильно,достаю длл koi проганяю через анти темпер затем проги unconfera tools (куча всяких) и в конце de4dot в итоге до конца не расшифровывается, что делать помогите 1 фото до дешифрвания, 2 после.

07fb_27.03.2018_EXELAB.rU.tgz - до дешифровки.jpg

Добавлено спустя 1 минуту
Вот это после unconfuser tools и de4dot

3197_27.03.2018_EXELAB.rU.tgz - после дешифровки.jpg

Добавлено спустя 2 минуты
Если надо скину koi (которую достал из проги) или саму же прогу

Добавлено спустя 10 минут
прога которую надо деобфусцировать https://drive.google.com/open?id=1D3133IDcNVOBVwRwjJzuUwwulxjO9F7a

последовательность моих действий: удалил Module, достал koi, в koi удалил Module прогнал через Anti-tamper, затем unconfuser call fixer v2 затем string decr, switch killer и вот до конца не деобфусцируется

| Сообщение посчитали полезным:

kotanpukan пишет:
Товарищи помогите пожалуйста что-то подустал я гуглом работать.
h__ps://github.com/wildcardc/cfxc-deobf

| Сообщение посчитали полезным:

Извиняюсь, если туплю и вопрос тривиальный. Забиваю NOPами условный переход - получаю исключение Invalid program при входе в патченую процедуру. Ставлю в dnSpy бряк на это исключение, дабы понять что именно проверяет целостность кода - брякается, но на ту же самую строку - вызов процедуры.
ЧЯДНТ?

| Сообщение посчитали полезным:

_MBK_
а инструкции, которые загружают переменные\значения в стек для сравнения занопили?

для примера такой код

нопить надо все что выделено красным


| Сообщение посчитали полезным:

Medsft пишет:
Товарищи помогите пожалуйста что-то подустал я гуглом работать.
h__ps://github.com/wildcardc/cfxc-deobf

Скомпилировал, но прога не работает, крашится с ошибкой Необработанное исключение, ссылка на объект не указывает на экземпляр объекта

Добавлено спустя 31 минуту
используется ConfuserEx v1.0.0-17-g2046c23

| Сообщение посчитали полезным:

Да нет вроде
Забил нопами
11 06 ldloc.s 6
2C A2 brfalse.s IL_0068

| Сообщение посчитали полезным:

насколько я понял у меня просто старый de4dot не дешифрует строчки strings, как можно сделать новый де4дот чтобы он поддерживал ConfuserEx v1.0.0-17-g2046c23

| Сообщение посчитали полезным:

kotanpukan
Читай исходники обоих и собирай свой dnlib..

| Сообщение посчитали полезным: