Всем привет!
Попалась под ножик программа. Написана на .Net
На ней висят Реактор (native method), какой то дохлый пакер и Енигма. (я не понимаю как это может пахать)

Енигму убрал, пакер тоже. Вытащил .Net сборку, прогнал чере универсал фиксер, не запускается.
Окей, пошёл колупать первое -
Через жопу и CFF редактор смог сделать что бы в рефлекторе открывало.
Второе -


Вот такой набор инструкций почти в каждом методе. (кстати, рефлектор это не смог прочитать только ILSpy)

Причём ILSly не видет главный класс. О_О А рефлектор видет НО не может обработать выше указанные инструкции.

Вопрос таков это что за монстр? Наврядли реактор смог такое сделать.
И есть ли программы для отлова ошибок .Net сборок ? А то я так не мог понять где падает программа.

| Сообщение посчитали полезным:

vovanre пишет:
Вопрос таков это что за монстр?

На дотфускатор похоже. Деобфускатор SAE такое снимает. Принцип-то простой: с первой инструкции прыгаем на указанную и выполняем код дальше. Рефлектор пытается декомпилировать и мусор, потому что ему без разницы, что там такое написано, и благополучно умирает.

vovanre пишет:
И есть ли программы для отлова ошибок .Net сборок ?

DILE

| Сообщение посчитали полезным: vovanre

возьми мой Net patcher и опция removebadcode тебе в руки)
А сборку вытащи megadumper'om

| Сообщение посчитали полезным: vovanre

Medsft пишет:

возьми мой Net patcher и опция removebadcode тебе в руки)
А сборку вытащи megadumper'om

Мега дампер вытаскивает что то вообще не вообразимое, которое нигде не открывается ._.



nick8606 пишет:
DILE
Спасибо.
UPD
Увы .Net Parcher не осилил, здох при сохранении =(

UPD 2
Фух, убрал спасибо, теперь пошёл колупать где ошибка

| Сообщение посчитали полезным:

Megadumper все отлично вытаскивает. только энигму сначала сними. А то что ты показал обычный бадкод.

| Сообщение посчитали полезным:

реактор то сначала сними ) dedotom

| Сообщение посчитали полезным:

Енигма снят, какойто-пакер-похожий-на-упх тоже снят, там ещё были плюшки против dedot'a .
Ядерная смесь попалась. Спасибо за помошь!

| Сообщение посчитали полезным:

net patcher не мог упасть там бинарный способ делаешь чтото неправильно

| Сообщение посчитали полезным:

Хм, или у меня бзик или импорт побился =\

В импорте mscoree.dll => _CorExeMain

| Сообщение посчитали полезным:

сборку после снятия протекторов пофикси universal fixerom прежде чем ошибку искать

| Сообщение посчитали полезным:

а что тебе на скрине не нравится отладчик просит подгрузить библы и все резреши ему.А ошибки искать надо профайлером диле сам состоит из моря ошибок. Найди мою сборку она постабильней

| Сообщение посчитали полезным:

Exception occurred while loading the assembly: System.NotImplementedException: Unknown assembly flag value.

Кхм

| Сообщение посчитали полезным:

))))) стандартная ошибка диле... не знает че послать ядру . флаги сборки не все в структурах описаны.
не мучься снимай каждый протектор по очереди и проверяй на запуск

| Сообщение посчитали полезным:

Лучше ссылку , картинка большая. --> Link <--

Щитото не знаком с такой ошибкой.

| Сообщение посчитали полезным:

Решил пересобрать (ildasm<=>ilasm) что бы отпали вопросы о корректности сборки.

| Сообщение посчитали полезным:

))))) ты жжешь))))

| Сообщение посчитали полезным:

Увы, я .Net я не работал =(

| Сообщение посчитали полезным:

снимай защиту поочередно и на каком этапе перестанет работать пиши 1 пакер работает дальше 2 пакер работает дальше и вот когда перестанет работать напишешь

| Сообщение посчитали полезным:

Medsft
dile в твоей сборке - супер. как-то пользовался, шустрый. оригинал думал над каждой коммандой, хитрая процедурка была

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

Спасибо ajax.

| Сообщение посчитали полезным:

Кхм, если не секрет, а где Енигма ключи хранит?
Хочу ключик убрать

| Сообщение посчитали полезным:

Аа вот и суть начинает появляться)))

| Сообщение посчитали полезным:

Ладно Ладно, нашёл уже, просто лень было мониторить

| Сообщение посчитали полезным:

Работает без энигмы? Идем дальше?

| Сообщение посчитали полезным:

Фух, странно, но у приложения кусок кода был на другой странице, приложение теперь пашет, спасибо!

Теперь его можно спокойно ковырять.


А DILE может скрыватсья от IsDebugPresent ?

| Сообщение посчитали полезным:

Молодец! Не может... Но найтй как два пальца .... в sae находишь в поиске isdebugpresent запоминаешь в каком методе происходит вызов в net patchere делаешь реверс бранч сохранаешь и все тебе ок

| Сообщение посчитали полезным:

И вообще тебе повезло что джит не используется сборка по любому после каждого этапа снятия пакеров должна работать

| Сообщение посчитали полезным:

Medsft
Пользуйся кнопкой "Правка", не создавай сообщения подряд. Пора уже было освоить, с таким рангом-то.

| Сообщение посчитали полезным:

Но всё же есть один вопрос. Что за ошибка


Я ради эксперимента, даже пересобрал приложение(без ошибок).


Пысы то приложение поломал, просто интересно как с этим бороться.

| Сообщение посчитали полезным: