Со времени создания топика много обсудили, во много м разобрались и много осталось за кадром. Решил подшить выкладываемый софт и линки

Инструменты:

dnSpy - бодрый декомпилятор и отладчик тут беты

Gray Wolf - DE-ObfuScatE / Edit IL(Live) / Add payloads / Edit attributes(public/privet) / Copy strong names signing on EXE/DLL
ReSharper 6.0 Build 2093 Pre-Release - Очень навороченый декомпилер, побробности --> ТУТ <--.
Рег-данные:

Reflector 8.3.3.115 - платный декомпилятор .NET 8.3.0.95 + (дополнение к нему)
Седьмая версия рефлектора - думаю все знают
Сборка Add-in'ов для Reflector - есть много полезных вещей
.Net ID 1.0.0.3 - определение защиты
DNiD by Rue - сигнатурный анализатор
Dotnet IL Editor (DILE)- Opensource дизассемблер и дебаггер
Xenocode Fox Code Analyzer- профайлер и дизассемблер
Reactor Decryptor 1.7 - что то декриптит, но что не понятно(с) zeppe1in
Simple Assembly Explor (SAE) - Assembler, Disassembler, Deobfuscator, IL editor and more...
DotNet Dumper 1.0 - Дампер .net'овских приложений. Подробное описание
Kurapica dotNET Tracer 1.1 - трейсер от известного автора инструментов для .net
ILSpy 1.0.0.481 - Opensource комбайн, на подобие SAE. Подробности тут
dotTrace Performance 4.0.665.4 - Неплохой трейсер для .Net приложений. Умеет делать трейсы не смешивая потоки как KDT. Умеет сравнивать трейсы двух запусков программы
Рег-данные:

Universal Fixer 1.0 - fix dumps after dumping them whit Dotnet Dumper or other similiar tools and will also fix nasty things: multiple assembly/module definitions, wrong extends, etc.
iMPROVE .NET Deobfuscator - деобфускатор


ConfuserDumper
ConfuserDelegateKiller
CodeCrackerTools: ConfuserMethodsDecryptor, ConfuserDelegateKiller, ConfuserStringDecryptor, MegaDumper, etc.

Документация:
--> Microsoft <--
--> Metadata and File Format <--
--> CIL(опкоды с полным пояснениями) <--

Статьи с хабры:
Защита .NET приложений - Субъективная теоретическая муть с хабры, выдаваемая за обзор обфускаторов(только для фанатов)
Как обмануть NET.Reflector - вот это уже годная статья, в которой рассматривается ручная обфускация в стихах и картинках
Взлом программ для чайников - ну не знаю...прописные истины, но приятно, что все это есть на русском языке и нормально оформлено
Реверс-инжиниринг обфусцированной сборки .NET - один только заголовок чего стоит. По сути статья информативная
Инъекции MSIL кода в стороннюю сборку при помощи Mono.Cecil. Реализация принципов АОП в NET
Избавление .NET программы от регистрации на примере BEM
Снимаем дамп объектов с памяти .Net приложения

Другое:
.NET Reflector v7.0.0.198 (C# Source by wangshy)
String decryption with de4dot

Прошлый топик https://exelab.ru/f/action=vthread&forum=1&topic=16650&page=-1

-

Last edit: 2012-02-17, Links fixed. Jupiter

| Сообщение посчитали полезным: prorab777, ViruSZ7

f13nd пишет:
Ему надо конфиг каждый раз удалять, чтобы запускалось. И при использовании что-то там нажимать нельзя, тоже гарантированный вылет.
Там не было конфигов, с офсайта качается 1 файл в архиве, его и запускал.

Medsft пишет:
Ссылкой поможем h__ps://dropmefiles.com/vBMFi
Спасибо, распакованный работает норм, не крашится.

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

4kusNick пишет:
Там не было конфигов, с офсайта качается 1 файл в архиве, его и запускал.
Скачанный с офсайта по ссылке в теме про ilspector один файл после запуска оставляет после себя ilspector.xml, из-за которого он крашится при втором и дальнейших запусках, если его не удалить.

-----
2 оттенка серого

| Сообщение посчитали полезным:

f13nd пишет:
Скачанный с офсайта по ссылке в теме про ilspector один файл после запуска оставляет после себя ilspector.xml, из-за которого он крашится при втором и дальнейших запусках, если его не удалить.

Понятно, в моём случае первого запуска не было)

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

[del]

| Сообщение посчитали полезным:

TryAga1n
На паскале она будет точно такая же.
c / 16 - количество блоков по 16 единиц.
& 15 => %16 - остаток от деления на 16. Обычно используется для вычисления "хвоста".

-----
старый пень

| Сообщение посчитали полезным: TryAga1n

r_e, спасибо. тупанул просто)

| Сообщение посчитали полезным:

Кто-нибудь знает, чем обфускано --> вот это <--?

-----
SaNX

| Сообщение посчитали полезным:

[module: ConfusedBy("ConfuserEx v1.0.0")]

или маскировка под него

| Сообщение посчитали полезным: SaNX

SaNX
ConfuserEx + eazfuscator VM

| Сообщение посчитали полезным:

Mishar_Hacker пишет:
ConfuserEx + eazfuscator VM
тулзы от CodeCracker не робят на нем, видимо, потому что 64 бита. Что делать?

Мне даже не надо, чтоб оно запускалось, просто все строки декриптнуть, чтоб посмотреть, что внутри происходит

-----
SaNX

| Сообщение посчитали полезным:

Помогите пжл восстановить длл после дампа https://cloud.mail.ru/public/AYew/WSznyBRfZ

| Сообщение посчитали полезным:

sss123
UniversalFixer попробуй

| Сообщение посчитали полезным:

Jaa
Пробовал не помогает.

| Сообщение посчитали полезным:

sss123
Тогда тебе нужно оставить свой запрос в Запросы на взлом программ или в Поиск специалистов и ждать отозвавшихся.

| Сообщение посчитали полезным:

de4dot mod by Tianjiao, partial fix MaxtoCode(3.80-3.87)

https://github.com/Tianjiao/de4dot/releases/download/v3.1.41592.3405/de4dot.zip

What's new:

Partial Fix latest MaxtoCode(3.87) (Tested on decrypt of string and resource)
Partial Fix some MaxtoCode versions (same as above)
Improved Logger.vv() Info for MaxtoCode

Features:

Decrypt string.
Decrypt resource.
Deobfuscate the control flow except those in the encrypted methods.

Note:

If you want to decrypt the encrypted methods, you can dump them, or modify the code of modded de4dot(Just one line).

You can use it first to decrypt the strings, then use a decompiler such as dnSpy, the strings can be shown then.
Or you can use a debugger to search for the strings. So in this way the purpose for RCE can be reached.

If the assembly protected by MaxtoCode cannot run, you could open it in PE Editor such as CFF Explorer, then go to ".NET Directory" - "Flags", Click here, then check the "32bit required" option, then save the assembly. (Credit 0xd4d again)

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным: igorcauret, vitalik9

Спасибо!

Исходный код:
--> de4dot mod <--

| Сообщение посчитали полезным: igorcauret

Можно как то снять обфускатор Eazfuscator с проекта использующего xaml?
de4dot делает сборку не рабочей.
https://dropmefiles.com/hCEy3

| Сообщение посчитали полезным:

asmex
de4dot --dont-rename

| Сообщение посчитали полезным:

igorcauret пишет:
de4dot --dont-rename
Вся каша остается + сборка не работает.

| Сообщение посчитали полезным:

asmex пишет:
Вся каша остается
Она и останется из-за опции --dont-rename
Пробуй опции -r -ro --dont-rename..
Каша останется, но велик процент запуска софта.

| Сообщение посчитали полезным:

asmex пишет:
Вся каша остается + сборка не работает
Ну тогда неплохо остальные dll-ки выложить из папки с программой,или как тестировать предлагаете?

| Сообщение посчитали полезным:

igorcauret пишет:
Ну тогда неплохо остальные dll-ки выложить из папки с программой,или как тестировать предлагаете?
--> Link <--

| Сообщение посчитали полезным:

asmex пишет:
--> Link <--

igorcauret пишет:
de4dot --dont-rename
все работает,мозги людям парите https://prnt.sc/lv1hh3

| Сообщение посчитали полезным:

asmex
Снимай обфус и посмотри логику как поймешь просто сделай патч в оригинальной версии и готово
Как то давно делал на такую вещь патч скажу так просто так ее не возьмешь

| Сообщение посчитали полезным:

igorcauret пишет:
все работает,мозги людям парите https://prnt.sc/lv1hh3
Теперь нажмите кнопку connect, об этом речь
http://prntscr.com/lv9zcf

Mishar_Hacker пишет:
Снимай обфус и посмотри логику как поймешь просто сделай патч в оригинальной версии и готово
Как то давно делал на такую вещь патч скажу так просто так ее не возьмешь
Так и делаю в принципе, решил спросить может кто подскажет другое направление подхода к таким вещам
Процесс логина там обойти не сложно, есть желание попробовать переписать некоторые функции, как с обфусцироваными функциями это сделать у меня идей нет

| Сообщение посчитали полезным:

Здравствуйте!
Интересует как обфусцировать файл:

От модератора: UPX спасёт отца демократии!

| Сообщение посчитали полезным:

asmex пишет:
Так и делаю в принципе, решил спросить может кто подскажет другое направление подхода к таким вещам
В этой проге проверка на целостность, насколько я понял
Попробуй поменять в hex редакторе какой-то ничего не значащий байт в конце ехе файла. Например в номере версии. И она уже не запустится...
И кажется именно в том месте после логина

Здесь только патчить в памяти, т.е. только лоадер...
Т.к. разбираться где там та проверка целостности гиблое дело
Тем более там еще куча дллк...

| Сообщение посчитали полезным:

uncleua
Можно найти проверку целостности очень легко,
File.Open
File.OpenRead и все иже с ними на них ставим брекпоинт и запускаем программу
Готово
Извините если не прав

| Сообщение посчитали полезным:

Mishar_Hacker пишет:
Можно найти проверку целостности очень легко
А что Вы думаете про данный способ?



З.Ы. Естественно имена методов после обфускации должны содержать hash
Конструкторы тоже можно обиграть таблицей

| Сообщение посчитали полезным:

Medsft
Я даже не открывал софт, это было мое предположение

| Сообщение посчитали полезным: