Пожалуйста помогите. Он не .ехе

--> Link <--

.NET Программа этот файл как то читает.
Тут было подозрение что в нем спрятаны какието .dll
Как этот файл можно разобрать и обследовать ? (так как этот файл верятно часть защиты программы)

Речь идет о этом топике/программе:
--> Link <--

Буду признателен!

| Сообщение посчитали полезным:

А одного топика мало? Брать и смотреть, как оригинальная программа с ним работает. Формат может быть какой угодно.

| Сообщение посчитали полезным:

Archer пишет:
А одного топика мало?
Дело в том что это уже специализированный вопрос...

| Сообщение посчитали полезным:

Monk32 пишет:
Дело в том что это уже специализированный вопрос...
дело в том что вам уже ответили

| Сообщение посчитали полезным:

Monk32 пишет:
Как этот файл можно разобрать и обследовать?

Очевидно, зашифровано. Чем зашифровали, тем и разбирайте и обследуйте.



| Сообщение посчитали полезным:

Monk32
файл открывается, читаются 4 последних байта - 0x13841С
эти байты интерпретируются как смещение от начала файла.
по смещению 0x13841С читается размер массива данных - 0x9713
и размер буфера для расшифрованных данных - 0x2200
следующие 0x970F байт - это gzip архив, в котором содержится .Net сборка ClassLibrary1

ef0d_06.02.2013_EXELAB.rU.tgz - ClassLibrary1.zip

| Сообщение посчитали полезным: Monk32

зачем столько флуда? что обсуждать?
если все можно было оформлять в запросы на взлом или распаковку
а с целью пообщатся, есть чатики

| Сообщение посчитали полезным: DimitarSerg

-=AkaBOSS=-
Спасибо что объяснили!
А вот каким способом вы извлекли ".Net сборку ClassLibrary1", Тут иммено какойто распаковщик использовался ?

И не подскажите вы в каком месте этот файл "открывается" в программе.

reversecode
Мне же это самому все интересно, для меня нету смысла ставить это в запросы.
Поставля это в запросы, что я бы мог бы выучить

| Сообщение посчитали полезным:

Monk32
Да, а так ты выучил, что -=AkaBOSS=- шарит. Молодец. Глядишь, к следующей зиме всех мемберов получится протестить.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL
О чем тут речь? Какой смысл?

| Сообщение посчитали полезным:

Monk32 а какой смысл спрашивать как сделать, если все равно это делают за вас
чему вы из этого научитесь? ничему
поэтому лучше оформляйте запрос, за вас все сделают

| Сообщение посчитали полезным:

Monk32 пишет:
А вот каким способом вы извлекли ".Net сборку ClassLibrary1", Тут иммено какойто распаковщик использовался ?
-=AkaBOSS=- пишет:
это gzip архив
гугл знает больше

Monk32 пишет:
И не подскажите вы в каком месте этот файл "открывается" в программе.
ЗДЕСЬ разве не ваш скрин? вот там смотрим в class2.method_5 и дальше по коду

| Сообщение посчитали полезным:

reversecode
"Хорошо, не понял с первой подсказки, на тебе следующую." Вот так я себе представляю это дело.
Я тут не кого не просил делать все для меня, лишь ответить на пару вопросов.
Для чего же тогда сам форум? Чтобы им не пользовались? Поймите меня.
Уж извените если это было так трудно. Не мог я этого предвидеть.
Спасибо.

| Сообщение посчитали полезным:

Monk32
глазами других, не замечено что бы вы что то пытались
я так думаю помочь в подсказках подразумевает хотя бы когда 50% работы сделано вами

если для "скажите где здесь процедура которая делает тото.." то думаю такие запросы тоже не нужно создавать отдельными топиками

| Сообщение посчитали полезным:

-=AkaBOSS=- пишет:
следующие 0x970F байт - это gzip архив

А из самого "de-fr.c3bin" как вы его извлекли?
Именно как вы здесь --> Link <-- описали?

reversecode
--> Link <--

| Сообщение посчитали полезным: