NAME: ILSpector
DESC: The best decompiler and debugger for the obfuscated .net assemblies.
Last build: 25.03.2016
URL: http://il4re.ml/


Description:
ILSpy (based on original latest ILSpy public version 2.2.0.1737)
-add debugger from the SharpDeveloper studio
-add CopyFullyQualifiedTypeName.Plugin
-add OpCodeTableForm
-add to treeview contextmenu:
- strong name utility
- rename class utility
- Jump to EntryPoint
- string viewer utility (search enable)
- extension exeecute utility (reservation work enable)
- search any text in decompileTextView
- Find method call
- Analyze. Reference calls positioning and highlight ("IL Code" view)
- hexeditor methodbody utility (runtime compilation enable,
two technologies save the result(High Level:recompile assembly
and Low Level:Binary Patch(See results and work in Patch_table)))
add to decompiletextview contextmenu:
- replace instruction (High Level,need recompile to save assembly)
- nop instruction (High Level,need recompile to save assembly)
- reverse branch (High Level,need recompile to save assembly)
- nop instruction (Low Level, no need recompile binary patch see Patch Table)
- reverse branch (Low Level, no need recompile binary patch see Patch Table)

Mono.Cecil
-ignore null type (Read TypeDefinition)
-ignore invalid parameter(Read MethodDefinition)
-ignore invalid generic argument()
-ignore invalid attribute (if (attribute.Constructor == null) continue;)
-ignore invalid signature(GetSecurityDeclarationSignature)
-fix handle null value in obfuscated assembly
-add ToString for CustomAttributeArgument
-add ToString for CustomAttributeNamedArgument
-ignore null element(MemberDefinition)
-avoid recursive declaringtype of some obfuscated assemblies,currently only one level checking
-add AllMemberReferences(IEnumerable<MemberReference> GetMemberReferences)
-add ElementTypeIntValue(ElementTypeIntValue)
-add support to read/write directly from bytes(FromBytes)
-Read reloc section, Contributed by Khiem Nguyen
-add alternative "Save" technology modified assembly (support obfuscated assembly)

Sorry for my bad English and WPF Need bug reports)

| Сообщение посчитали полезным: redlord, Gideon Vi, djdram, zds, uncleua, Austerlitz, 4kusNick, nick8606, vovanre, verdizela, TryAga1n, v00doo, VodoleY, Alinator3500, soho, ZaZa, s0cpy, DICI BF, CyberGod, plutos, Deluser, SReg, zNob, raiser, Shubka75, JohnyDoe, Dart Raiden, Bronco, Hellspawn, neprovad, aleXela, HandMill, AKAB, sefkrd, Autokent

Good stuff bro

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Sorry we crashed http://prntscr.com/5z2924

ПКМ на ИЛь кодесе справа

| Сообщение посчитали полезным:

Эта сборка умеет читать выхлоп ConfuserEx на агрессивном. Адово плюсую! Намного меньше возни!

| Сообщение посчитали полезным:

При hex-редактировании - http://i.imgur.com/hkNfyiU.png

| Сообщение посчитали полезным:

Хекс редактирование на обфусцированной сборке (после нажатия ок) -> http://joxi.ru/GrqMMGZSy64Drz

| Сообщение посчитали полезным:

1) на не очень крутом офускаторе падает
http://prntscr.com/5z3125

2) we crashed again http://prntscr.com/5z38js

3) дрег-дроп сборок на дерево слева поломан (на оригинале пашет)

4) аттачер не видит дот-нет процессов (запускал SAE )

| Сообщение посчитали полезным:

Some bug found.File replace. Please reload
+ add Remove IllegalConstruction handler

| Сообщение посчитали полезным:

По правому клику в IL режиме все-равно если кликнуть в любом месте окна с кодом - http://i.imgur.com/VKyBz83.png

| Сообщение посчитали полезным:

Uncleua сделай скриншот ошибки и своих действий... Не могу симулировать ее

| Сообщение посчитали полезным:

Medsft пишет:
Uncleua сделай скриншот ошибки и своих действий... Не могу симулировать ее
Не поленился видео снять -> http://youtu.be/3LC75RV72CI

| Сообщение посчитали полезным: uncleua, Medsft

Some bugs found.File replace. Please reload
+add video: How to add new Execute Extension

vovanre пишет:
Не поленился видео снять еслиб все так баг-репорты оформляли. Респект вообщем.

| Сообщение посчитали полезным:

И так базовый функционал мода по видимому работает как надо,поскольку баг репортов(хоть каких) не наблюдается, и это хорошо. А руки то без дела лежать на столе не могут... И задумал я добавочки... Бывает так: смотришь на тело метода и ни хрена не понимаешь, что тут и о чем.. Control Flow во всех его вариациях. И назрело решение сделать деобфускатор тел методов но не так чтобы потом потребовалась рекомпиляция и не важно какой движок для этого используется моно или рефлекшен или днлиб.Рекомпиляция ведёт за собой в итоге.. как быэто.. после неё получается совсем другая ехе или длл. Этож еду понятно у разраба и исследователя) разные компиляторы...Так о чем я)) если предположить что тело обфускированного метода полюбому больше тела его оригинального собрата ТО если распутать метод собрать его заново и method body добить нулями до старой длины а в конце ret -- может вполне оригинальненько получиться. На выходе мы будемиметь бин патч массив который останется применить к оригинальной сборке.
Задача ясна: за дело.
Есть:
- мой иль спай мод который жрет почти все
- движок де контрол флоу который умеет еще и удалять лишние exception handler'ы, и не нужные бокал переменные оставшиеся от control flow
-есть байт массив тела оригинального метода с его заголовком с адресом его размещения в файле
- есть адреса и содержимое всяких там таблиц
И теперь главный вопрос к знатокам Net: если я распутаю метод( как аксиому примем что после распутывания его размер меньше оригинального) при этом не буду ничего больше делать ...ренейм и всякая такая хрень мне нужно будет только поправить заголовок и ентри поинт метода?

| Сообщение посчитали полезным:

Medsft
Я так понял ты хочешь с пересобранной сборки перенести только тело метода в оригинальную?
Если так то будет косяк с сылками на таблицы т.к. они не будут соответствовать оригинальной сборке.
А вообще править тело метода и заголовок, этого достаточно. ентри поинт зачем трогать не понял.

-----
zzz

| Сообщение посчитали полезным:

Эксепшн при выделении кода при использовании инструмента binery edit (low level). Но далеко не у всех. Обфусцированная сборка цели.

http://i.imgur.com/5m7FmoF.jpg

| Сообщение посчитали полезным:

Не могу смотреть локальные переменные во время отладки. В сборке отсюда - https://exelab.ru/f/action=vthread&forum=1&topic=16650&page=35#12 переменную видно при наведении курсора мыши:

http://i.imgur.com/naxeXMG.png

В этой сборке такая панель не появляется.

| Сообщение посчитали полезным: Medsft

Some bugs found.File replace.Please reload.
+add Class or Method Injector.
+add video "How to inject class or method"

| Сообщение посчитали полезным:

SHADOW785 пишет:
Не могу смотреть локальные переменные во время отладки - исправлено.
Последняя версия в раздаче от "build 04_02_15_17_14"

| Сообщение посчитали полезным: SHADOW785

--> Баг 1: Binary Edit bug... <--

--> Баг 2: Browse Dependencies bug... <--

--> Баг 3: Search MSDN... bug...<--

Пожелания:
1. Закрывать все открытые окна в контексте ILSpy после закрытия основного окна (в частности, Mirage_table).
2. Рассмотреть возможность изменения значений переменных при дебаге. Очень помогает при отладке...
3. Закрывать процессы, открытые при дебаге, при закрытии основного окна.
4. Ограничить поле Rename'r (New name) до 100 символов (хотя бы)... Переполнить не удалось... Зачем изменяемое поле Old Name?

-----
One death is a tragedy, one million is a statistic.

| Сообщение посчитали полезным: Medsft, CyberGod

Some bugs found.File replace.Please reload.
Last build 05_02_15_57_00

To Zaza:
- bug 1-fixed
- bug 2-fixed
- bug 3-fixed
- bug 4(close ownerwindow)-fixed
- bug 5(oldName not readonly)-fixed

| Сообщение посчитали полезным: Hellspawn, 4kusNick, ZaZa

Баги:
--> Баг 1. Not PE File... <--

Пожелания:
1. String Viewer - при двойном нажатии мыши открывается метод, но нет позиционирования на строке. Очень хотелось бы, а вдруг метод большой.
2. Все окна, вновь создаваемые (в частности, Extension Execute)

В идеале, конечно... Согласен, для некоторых окон не надо делать - String Viewer, Opcode Table (хотя и так хватает ширины)...
3. А можно ведь затемнить ту часть, что после имени метода идет (VA?) (типа: AboutBox1 @0200000a).
4. Прикрепить горячие клавиши на Rename'r (F2) и другие - общемировые (Analyze -> CTRL+A и т.д.)
5. Перестать защищать сборку IlSpy mod Medsft (Шепни в ЛС, где скачать не защищенную)
6. Хотелось бы увидеть функцию автоматической подсветки в окне decompiling. Выделил мышкой переменную/метку/значение, а она уже подсвечивается ниже и т.д.

-----
One death is a tragedy, one million is a statistic.

| Сообщение посчитали полезным: Medsft

{1,2,3,4 }- надеюсь завтра нас ждёт сюрприз.
5.Enigma virtual box - не протектор, об этом написано у них на сайте))).По мне так гораздо удобней если все упаковано в один файл. Согласен плагины не цепляются НО: моно и сам илспай сильно модифицирован и писать плагины под данный мод не зная че к чему ...это высший дзен.Есть мысли как улучшить и чтото добавить- welcome!
Я ж заранее извинился wpf не мой конек

Добавлено спустя 12 часов 18 минут
ZaZa пишет:
-> Баг 1. Not PE File... <-- --- насмешил

| Сообщение посчитали полезным: ZaZa

Some bugs found.File replace.Please reload.
Last build: "build 06_02_19_20_00"
- refactoring rename`r handler. At "Now" if you want rename press F2 on Field, Property,Method,Class, NameSpace -selected treenode.

| Сообщение посчитали полезным:

Зря убрал из меню "Rename'r". Если бы не написал, что по F2 переименовать можно - не догадался бы. Оставь в меню ссылку "Rename" с указанием горячей клавиши...

Баги под названием 'Not PE File...' остались.
P.S. Когда писал название, отвлекся, потому и Not PE получилось...

-----
One death is a tragedy, one million is a statistic.

| Сообщение посчитали полезным:

Ок

| Сообщение посчитали полезным:

--> Баг 1: Debugging broken assembly...<--
В архиве неисправная сборка.
Причем, если в конце ткнуть на "Прервать", то больше сборку не запустить в debug...

--> Баг 2: Class or Method Injector protected assemblies <--

--> Баг 3: Save code... <--

На сегодня, пока все

-----
One death is a tragedy, one million is a statistic.

| Сообщение посчитали полезным:

Medsft пишет:
По мне так гораздо удобней если все упаковано в один файл
Ilmerge не? Или там есть нативные библы?

| Сообщение посчитали полезным:

Сегодня билда не будет.
По поводу багов
баг 3. Движок moda не предназначен для генерации кода проекта в целом (особенности взаимосвязанной работы моно и nrefactory) по отдельности пожалуйста хотите листинг класса сохранить на здоровье, для создания же проекта используйте рефлектор или оригинальный ilspy
баг 2. Пожалуйста не используйте в качестве подопытной мыши при работе в моде, сам мод, он ведь немного запакован )))
баг 1. Помоему он просто ругается на отсутствие на компе каких то библиотек.
Часть незначительных баг пофиксена. Очередной билд в понедельник.

| Сообщение посчитали полезным:

Some bugs found.File replace.Please reload.
Last build 09_02_15_57_00
add change private to public method handler
add undo operation (lo-lev bytes)

| Сообщение посчитали полезным:

Some bugs found.File replace.Please reload.
Last build 10_02_15_19_00
+change private to public member handler at work on Low level
Project rename to "ILSpy NEXT"


П.С. А почему ренейм проекта читайте вечером в моем блоге )))

Добавлено спустя 1 час 56 минут
Мне задают вопросы.Только для русскоговорящего народонаселения.
Отличия между Low и High level редакторами:
Если Вы делаете патч в low режиме в итоге Вы получаете Patch_table таблицу патчей где
Первое число смещение от начала файла второе число старое значение третье число новое значение эти патчи можно сохранять читать заново и наконец применять к сборке.Как применяется патч сборка вычитыаается в простой binaryreader и по смещению происходит замена байт ---- простой и пожалуй наиболее действенный байт патчинг
Теперь о high levele "Ilspy NEXT" это уникальный инструмент одновременно с генерацией бин патча он производит перекомпиляции изменений как говориться в рантайм, для того чтобы исследователь мог сразу увидеть изменения которые он внёс в код. И при этом сохраняется возможность их сохранить, Нашим модифицированным движком, с полной рекомпиляцией сборки

| Сообщение посчитали полезным: