| Сейчас на форуме: johnniewalker, Kybyx, vsv1, r0lka, -Sanchez-, testrev1337 (+3 невидимых) |
 |
eXeL@B —› Крэки, обсуждения —› каким образом Reflexile работет |
| Посл.ответ | Сообщение |
|
|
Создано: 03 декабря 2009 11:29 · Поправил: Модератор · Личное сообщение · #1 Кто-нибудь может объяснить, каким образом Reflexile работет? Плагин для .Net Reflector'a, использующий Mono.Cecil, позволяющий "на лету" манипулировать IL кодом и редактировать C#/VB.NET сборки. Подгрузил плагин, внес нужные изменения, а вот каким образом их сохранить я так и не понял.  |
|
|
Создано: 03 декабря 2009 11:42 · Личное сообщение · #2 s0l а вот каким образом их сохранить я так и не понял Лично я для изменения и сохранения раньше пользовался NetDasm`ом, а счас предпочитаю или SimpleAssemblyExplorer или битхак в 16-тичном редакторе... |
|
|
Создано: 03 декабря 2009 11:55 · Личное сообщение · #3 uncleua пишет: битхак в 16-тичном редакторе... Я не представляю как заменить в хексе. Может подскажешь? ldstr мойтекст на ldloc.s указатель на переменную |
|
|
Создано: 03 декабря 2009 12:01 · Личное сообщение · #4 s0l пишет: Подгрузил плагин, внес нужные изменения, а вот каким образом их сохранить я так и не понял. Не совсем понял тебя....внёс изменения, потом выделил модуль который редактируешь, потом нажал Save as...  З.Ы.: Тему навена не тут создал 
|
|
|
Создано: 03 декабря 2009 12:06 · Личное сообщение · #5 MasterSoft Спасибо большое. Я не знал где это сэйв эс находится, а офф сайт на французском и без мануалов з.ы.: я дурак бросай оружее. з.з.ы.: про патчинг в хексе все еще актуально... |
|
|
Создано: 03 декабря 2009 12:38 · Поправил: uncleua · Личное сообщение · #6 s0l пишет: з.з.ы.: про патчинг в хексе все еще актуально... - Грузишь цель в ildasm.exe, ставишь галочку View->Show bytes, находишь нужную функцию и открываешь; - Вверху видишь RVA и копируешь его в буфер; - Открываешь CFF_Explorer, идешь в Address Converter, вводишь из буфера RVA и получаешь смещение по которому функция расположена в файле; - Открываешь HEX-редактор и идешь в нужное место; - Дальше смотришь на IL-код и соответствующие ему 16-ричные значения в ildasm`е , находишь их в HEX-редакторе и решаешь что на что надо заменить... Наверняка пригодится часто применяемых для этого дела опкодов... |
|
|
Создано: 03 декабря 2009 12:43 · Личное сообщение · #7 uncleua Огромнейшее спасибо. Сегодня мои первые опыты в нем... До этого не сталкивался со взломом до-диеза вообще =) |
|
|
Создано: 10 декабря 2009 20:29 · Личное сообщение · #8 Возник вопрос. Есть некая обфусцированная программа, я прошелся по ней Kurapica DotNET DeObfuscator v0.5, полученный файл заргузил в Dis#(рефлектор вылетает при обработке...) и появилась такая проблема: форма регистрации 2 кнопки, 2 поля. одна кнопка генерирует ХВИД, другае чаекает сериал соответственно, но: Dis сказал, что там только 3 процедуры, про что одна из них выставляет компоненты(похоже на Run-time создание), вторая я так понял говорит об пустой строке, 3я сверяет серийник непонятно с чем и создает в реестре строковый ключ "Key"(без содержания О_о). И самое главное: нет процедуры генерации и сверки. Листинг: |
|
|
Создано: 10 декабря 2009 20:52 · Личное сообщение · #9 s0l пишет: Возник вопрос. Выложи прогу глянуть... |
|
|
Создано: 10 декабря 2009 20:55 · Личное сообщение · #10 Отправил в ПМ |
|
|
Создано: 10 декабря 2009 20:56 · Личное сообщение · #11 s0l и я хочу) ----- zzz |
|
|
Создано: 10 декабря 2009 21:02 · Личное сообщение · #12 Кажется понял где проверка, только не понял что она там делает... Class_12_Object -> Procedure_1 : void () Тут он читает из реестра и страшно прыгает на итерации, только как вот пропатчить обфусцированную гадость? Информации по додиезу вообще нет толком =( |
|
|
Создано: 10 декабря 2009 21:43 · Личное сообщение · #13 sourceforge.net/projects/dotdeobfuscate/ отлично справляется с лишними джампами ----- zzz |
|
|
Создано: 10 декабря 2009 21:54 · Личное сообщение · #14 zeppe1in Спасибо за линк, а можешь сказать что-нибудь по поводу патча обфусцированной проги? Или нужно пересобирать? |
|
|
Создано: 10 декабря 2009 22:21 · Личное сообщение · #15 s0l пишет: Кажется понял где проверка, только не понял что она там делает... Та там еще одно место есть: eval_b->eval_a(string):eval_e В деобфусцированом варианте здесь: Class_3_Form->Function_Class_16_60(string):Class_16_Object Токо вот незадача - в каком из вышеперечисленых(и тобой в том числе мест) не ставишь бряки - нигде они не чо-то срабатывают... |
|
|
Создано: 10 декабря 2009 22:26 · Личное сообщение · #16 uncleua Мож антиотладка какая...думаю нужно пробовать патчить. Щас попробовал в хексе поискать 740A20FE0E, т.е.: Code:
но ничего не нашел, хотя вроде все по таблице опкодов. Может я не правильно ищу? |
|
|
Создано: 10 декабря 2009 22:33 · Личное сообщение · #17 s0l пишет: Может я не правильно ищу? Может... Ты действуй по инструкции, которую я тебе раньше написал... Токо в ildasm2.0.exe прога не хочет грузиться(пишет - Protected Module - cannot disassemble), но в ildasm1.1.exe грузится... |
|
|
Создано: 10 декабря 2009 22:34 · Поправил: s0l · Личное сообщение · #18 uncleua пишет: ildasm1.1.exe Вот где собака зарыта, а я и думаю, как адреса найти по-человечески...Оказывается предыдущая версия нормально работает =) Так и не смог пропатчить. Заменил на адресе AB46: 7E3900000A Code:
на 386D Code:
т.е. чтобы сразу инциализировалась главная форма, без проверок реестра. При попытке запустить - крэш. В чем ошибка? |
|
|
Создано: 11 декабря 2009 00:24 · Поправил: zeppe1in · Личное сообщение · #19 чем reflexil не устраивает для патча?(Если не юзать деобфускатор Курапицы то рефлектор не падает) Также после патча надо удалить подпись сборки, или пере подписать reflexil умеет это. что бы ildasm2.0 работал, открываеш фаил в CFF Explorer и в таблице TypeRef забиваеш нулями SuppressIlDasmAttribute. Просто пропатчить боюсь не выйдет. uncleua чем отлаживаешь? Ан нет, патчится без проблем) дело в том что мой любимый dotdeobfuscate криво деобфусцирует, и прога не работает потом, а я то думал что, что то упустил. значит открываешь оригинальный фаил, и патчиш L_004e: ldc.i4 4 на ldc.i4 3 я патчил в рефлексиле. ----- zzz |
|
|
Создано: 11 декабря 2009 02:41 · Личное сообщение · #20 uncleua Pdf Publisher?
|
|
|
Создано: 11 декабря 2009 06:16 · Личное сообщение · #21 Поделитесь sn.exe и *.snk файлами, у меня их почему-то нет в папке с дотнетом |
|
|
Создано: 11 декабря 2009 12:05 · Личное сообщение · #22 s0l RE-Sign-sn.zip с sn.exe вкуче www.multiupload.com/50FT7DEYHV |
|
|
Создано: 14 декабря 2009 15:35 · Личное сообщение · #23 zeppe1in пишет: чем отлаживаешь? Dile... yanus0 пишет: Pdf Publisher? Асилил... Почти... forum.ru-board.com/topic.cgi?forum=55&topic=9791&start=720#17 s0l пишет: Поделитесь sn.exe Вот поновее dotNet_Studio_Suite_Plus скачал с rayfile... На нормальных обменниках ее, насколько понял, не найти - посему выкладываю - авось згодится... link_deleted_by_forum_engine/files/f2den3w3u |
|
|
Создано: 14 декабря 2009 16:52 · Личное сообщение · #24 yanus0, uncleua спасибо большое |
|
eXeL@B —› Крэки, обсуждения —› каким образом Reflexile работет |
Для печати