Здарова, уважаемые! До сего момента, никогда не ковырял .net сборки. Пытаюсь снять проверку лицензии (отвязать от файла ключа) с этой программы - ссылка. Первый эшелон протекта представляет собой нативный загрузчик образа .net сборки. Эта сборка находится в секции ресурсов, оттуда забирается и распаковывается/расшифровывается, далее передается в .net рантайм. В сам алгоритм я не вникал, просто сдампил эту сборку на диск (unpacked\R7D4_unpacked.exe). Поправил PE хидеры, убрал лишние .net потоки (а именно #GUlD (маленькая L в названии) и #Blop). Так же выпилил лишнюю Assembly, из за неё не хотело грузить рефлектором. + ещё по мелочи, может что и забыл.

Ещё, сделал search & replace для вот такого трюка (байткод 38020000002616):



Рефлектору сносило крышу. Заменил на nop`ы.

Нормально запускается и работает.

Что не получается:

1) Не могу посмотреть некоторые методы в reflector`е и reflexil выпадает с исключением. Без всего этого очень уныло патчить хекс редактором.

2) Пропатчить бинарник таким образом, что бы лицензию вообще не требовало. Анализ кода затрудняется обфускацией - а это мутный бранчинг со свитчем и без, непечатаемые символьные имена (у меня эту китайщину печатает квадратами, что навигацию сводит на нет) и мердж (инлайнинг) методов в один большой.

Пробовал разные деобфускаторы и ребилдеры - после них сборка попросту падает при выполнении. Но, после какого то из них (кажется .dotdeobfuscate и .Net Assembly Rebuilder) - сборка нормально подгружалась рефлектором и рефлексил не падал с исключением. Если нужно - могу повторить и поделиться.

Лицензия проверяется через LicenseProvider, судя по коду. Попытался по простому занопить этот вызов (выпал при выполнении) - но, видимо, без него не обойтись. Наверняка в классе лицензии есть какая то жизненно важная инициализация.

Куда копать далее?

Простите за большой пост.

| Сообщение посчитали полезным:

Unpacking .net reactor 3.6 и 3.9
rongchaua.net/security-mainmenu-28/13-dotnet/109-how-to-unpack-net-reactor-36
Unpacking Net Reactor 3.9.8.0
forum.tuts4you.com/showtopic=19556&st=0&p=104356&hl=Reactor&fromsearch=1&#entry104356

| Сообщение посчитали полезным:

Vovan666, спасибо за ссылки, посмотрю. Что то из этого я, возможно, уже читал.

upd: Да, вот это я видел - "Unpacking .net reactor 3.6 и 3.9". Там только распаковка, что я уже сделал сам. + версии протектора отличаются, в дампе пришлось править совсем другое.

| Сообщение посчитали полезным:

ну дак надо разбираться чо он там вызывает.
www.eziriz.com/help/index.html

-----
zzz

| Сообщение посчитали полезным:

zeppe1in, и там я тоже был. Гуглил про NecroBit, но так ничего и не нашел. Меня по большей части интересует лишь первый пункт моего поста - а именно, что бы рефлектором нормально можно было браузить по коду. Тогда уже можно реверсить и патчить методом проб и ошибок. ildasm не умеет переходить на процедуры, а визуально сопоставить одинаковые квадраты я не могу ). Как ренейм имен сделать - тоже не в курсе. Читал вот это - http://ntcore.com/files/dotnetformat.htm, в формате чутка разбираюсь теперь. Я так думаю, часть проблем запрятана в кривых таблицах (metadata tables, по терминологии в статье) и другая часть в самом коде. Даже не представлю что именно там может быть поломано, вручную всё чекать опускаются руки и ещё кое-что. Была идея сделать дифф рабочей и падающей сборки после ребилда, но это тоже приятного мало. Большую часть придется проверять визуально. Что-нибудь почитать бы насчет популярных техник обфускации .net протектов...

| Сообщение посчитали полезным:

ghostwheel
да, кривые значения в таблицах и прочая фигня имеет место быть)
с какой ошибкой падает то?
переименовывают почти все имеющиеся деобфускаторы, но сборка не запускается потом, тоесть можно использовать такое только что бы удобнее смотреть в рефлекторе.
выложи анпакнутый запускающийся вариант.

ой не заметил ссылку.

-----
zzz

| Сообщение посчитали полезным:

zeppe1in, анпакнутый лежит в том же архиве - unpacked\R7D4_unpacked.exe. У меня запускается и работает нормально (рантайм 3.5). Или какой нужен?
+ там же лежит ещё дллка, которую я выдернул каким то автоматическим анпакером. Подумалось мне, что там ресурсы. Уже не знаю, делал ли я с ней что-либо ...

Ещё в корне лежит триальный файл лицензии, без него будет выбрасывать мессадж бокс с капшном - Lock System.

| Сообщение посчитали полезным:

ghostwheel
Как ренейм имен сделать - тоже не в курсе.

Тем же SimpleAssemblyExplorer можно переименовывать... Что классы, что методы...

| Сообщение посчитали полезным:

Ага, SimpleAssemblyExplorer файл не грузит:
"Заданный аргумент находится вне диапазона допустимых значений.
Имя параметра: Cannot map the rva to any section"

Наверное, я с секциями что-то напутал. Т.к. это первое что пришлось править, после я делал Rebuild в CFF Explorer, так что по идее всё нормально должно быть, но всё же.

| Сообщение посчитали полезным:

ну что есть успехи?
у меня получилось переименовать.
сборка декомпилица и компилица без проблем. не запускается правдо потом).
вставляю меседж бокс, показывает, а где то дальше видимо валится. можно так строки например декодить.
кое как справляюсь обфускацией в рекомпиленой сборке.

-----
zzz

| Сообщение посчитали полезным:

zeppe1in, успехов не особо. Не осилил, что нужно править - что бы файл загрузился в SAE. На этом всё и встало.
Поделись файлом?

| Сообщение посчитали полезным:

www.sendspace.com/file/jfkh4n
один рабочий но не грузится в sae, другой грузица но не запускается.
кстати sae строки может декодить, становится будто бы легче, хотя в этом фарше всё равно сложно разбиратся. а ещо я деобфусцироал метод main

-----
zzz

| Сообщение посчитали полезным:

Народ может кто подскажет

распаковываю Reactor NET по показаниям ProtectionID.v6.3.5 версия 3.3 - 3.9
У этой программы не появляется окно ввода ключа тоесть сразу после окна


Идёт загрузка проги в демо режиме или (если триал период кончился) просто выход
Как при таком раскладе искать волшебный "MZ" при распаковке через ольку без windbg ??

======================================================================

И вопрос по второму методу распаковки через windbg всё сделал по иструкции применительно к крякме
но после olly cmd loadpdb C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorwks.dll
Вместо
Выводит


Тоесть тип Library в списке вообще отсутствует ... что нетак ?

| Сообщение посчитали полезным:

o_nix

Как при таком раскладе искать волшебный "MZ" при распаковке через ольку без windbg ??
незнаю как щас, но раньше даже при таком раскладе всё успешно дампилось тем же net генерик унпакером. тоесть искать точно также.

И вопрос по второму методу распаковки через windbg всё сделал по иструкции применительно к крякме
но после olly cmd loadpdb C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorwks.dll
у меня этот плагин криво работал.
загрузи в иду, в неё pdb, потом сделай map фаил, а его уже через плагин mapimp в олю)
ну или просто посмотри нужные тебе адреса в иде.

-----
zzz

| Сообщение посчитали полезным:

zeppe1in - а каким образом приводить в рабочее состояние проги распакованные дженериком ??

Запустил прогу натравил генерик на процесс выплюнуло 3 exe и штук 5 dll
Ниодна из exe не запускается выдаёт


два окна с ошибками это две разные запущенных выплюнутых проги (к одной ещё + cmd окно запустилось)
Судя повсему оригинальная программа состоит из трёх склеенных программ и самая маленькая из них отвечает какраз за систему лецензирования именно изза этого все сложности с распаковкой ...

Дело в том что в ольку эта прога грузится только до окна нага что я уже выкладывал если нажать ок происходит выход из проги тоесть нет входа в модуль программы потому и нельзя распаковать олькой.

Выданные генериком exe открываются в рефлекторе но они с обфускацией ...
на скрине какраз открыт модуль лицензирования походу ...

| Сообщение посчитали полезным:

Собственно деобфусцировал модуль лицензирования
вот наиболее интересный кусок кода


Как из этого кейген сделать до меня чтото совсем недоходит .... проге необходимо скормить файлключ...
Два варианта деобфускации модуля slil.ru/28683199
Может поможет кто из соображающих в .NET

| Сообщение посчитали полезным:

o_nix пишет:
Может поможет кто из соображающих в .NET
а что тут разбираться??? логику или что там у тебя включить сложно?? пока сам не сделаешь - так и будешь просить по форумам. o_nix пишет:
кусок кода
отвечает за расшифровку файла лицензии в массив байт, смотри откуда он вызывается. Вообще по кейгенингу качай, смотри, учись tuts4you.com/download.php?list.26

| Сообщение посчитали полезным:

yanus0 - сложность для меня в том что в прогу ненадо вводить данные для реги она сама подгружает файл и берёт из него данные
Плюс ковсему это приложение нельзя дебажить - оноже незапускается ... в нерабочем состоянии оно, как что и где ловить ниодного мануала нет.

Deblector для меня вообще инструмент новый .. непонимаю почему можно поставить бряк только после запуска проги и в режиме паузы

Как только я жму старт прога уже выдаёт какието результаты у неё нет ни фейса ничего .. как в этомслучае поставить бряк и запустить прогу с этим бряком а не заново

| Сообщение посчитали полезным:

o_nix пишет:
непонимаю почему можно поставить бряк только после запуска проги и в режиме паузы

В Dile можно ставить до запуска...
dile.sourceforge.net/

| Сообщение посчитали полезным:

o_nix
ты видать не видел деобфускации еще, то что у тебе, это детский лепет. Посмотри откуда вызывается метод, что ты привел выше, там происходит, расшифровка и запуск новой сборки, больше там нечего нет. Читай туторы, там все есть. "Учение свет - не учение тьма."

| Сообщение посчитали полезным:

yanus0 пишет:
o_nix
ты видать не видел деобфускации еще, то что у тебе, это детский лепет. Посмотри откуда вызывается метод, что ты привел выше, там происходит, расшифровка и запуск новой сборки, больше там нечего нет. Читай туторы, там все есть. "Учение свет - не учение тьма."
между прочим, это общие слова, не дающие никакой новой информации автору топика, лично я такие сентенции считаю за флуд. Не знаешь, что сказать по делу - проходи мимо.

| Сообщение посчитали полезным:

[wl]
согласен на 100%, автор переложи сабж

| Сообщение посчитали полезным:

o_nix пишет:
а каким образом приводить в рабочее состояние проги распакованные дженериком ??

Запустил прогу натравил генерик на процесс выплюнуло 3 exe и штук 5 dll
Ниодна из exe не запускается выдаёт
грузиш в рефлектор и видиш оригинальное название exe/dll. license.dll MC.exe(вроде так, точно не помню) это реакторские фаилы есть во всех прогах им упакованных.
после того как сдампил открываеш фаил в cff explorer и лечиш заголовок. в туторах по распаковке написано что и как фиксить.
o_nix пишет:
Дело в том что в ольку эта прога грузится только до окна нага что я уже выкладывал если нажать ок происходит выход из проги тоесть нет входа в модуль программы потому и нельзя распаковать олькой.
ну и почему нельзя то? ставиш бряк на loadimage или чо там, и дампиш. там хедер будет правильный но будут пустые методы.

-----
zzz

| Сообщение посчитали полезным:

zeppe1in - по тем туторам что выложины были выше я пробовал восстанавливать через cff explorer непомогает это
этот метод работает видимо на всё что угодно кроме этого конкретного случая ...

Собственно сабж полностью
_ttp://tinyurl.com/yh83wbd
Даю такую ссылку тк нехочу чтобы это попало в индекс прога ковыряется для личного так сказать использования и исключительно в мирных целях (слишком дорого стоит)

каждый exe с нагом представляет собой бутерброд из нескольких net программ, + походу ещё dll для криптовки файла ключа, изза этого невозможно извлеч через ольку известными методами и получить рабочий exe, выдергивается только нетгенериком в нерабочем состоянии

В бутерброде есть и .net 2.0 и .net 3.5 то что в 2.0 деобфусцируется нормально ... а вот под 3.5 вообще я так понял деобфускаторов в природе нет пока.

По агентурным данным проге нужно три файла ключа с расширением .license ... плюс ко всему есть стучалка на сервер ...
Есть ощущение что сломать такое невозможно или стоит это в несколько раз больше стоимости самой проги :D
В общем выкладываю чисто для опытов ... чтоб увидели как всё сложно можно сделать с защитой .NET

| Сообщение посчитали полезным:

o_nix
. NET Reactor NecroBit Shelling -
translate.googleusercontent.com/translate_c?hl=ru&sl=zh-CN&tl=en&u=http://www.rainsts.net/article.asp%3Fid%3D830&rurl=translate.google.com&usg=ALkJrhjQLL7xAp173GDRfLLF76JPG71c2A

| Сообщение посчитали полезным: