Уже не первый день пытаюсь сделать реверсинг одного .net приложения.

Прогнав прогу в Wireshark я обнаружил, что она проверяется по адресу:

Оттуда ей приходит "YOu ARE USING" ... и она выпадает в осадок.

Вначале я открыл ее в .Net Reflexor 7. Открылась она на ура, но веселье мое длилось недолго. Нужный метод оказался обфусцированным. Соответственно поиск по "snipurlx", "92.241.168.10" ничего не дает. По "senuke_scripts" выпадает кое-что, но не то.

Решил определить обфускатор. DNiD, ProtectionID, PE_Detective, DotNet Id скромно промолчали. Потом я извлек из него 2 dll с помощью NETUnpack и порывшись в них обнаружил что обфускация выполнена с помощью crypto obfuscator (http://www.ssware.com/cryptoobfuscator/obfuscator-net.htm). Версию обфускатора определить не удалось. Погуглил его и понял, что влип . Инфы по нему кот наплакал, а о готовом деобфускаторе не приходится и мечтать.



Далее я снял атрибут SuppressIldasmAttribute в CFF Explorer:

'.NET Directory'/'MetaData Streams'/'#~'/'Tables -> search for "SuppressIldasmAttribute" -> удалил ее путем установки полей Name и Namespace в 0 -> Прога перестала работать

Решил прогнать через ildasm -> ilasm:



И получил смачную дулю.

Пробовал отдебажить в оле - прога сразу виснет, а иногда вообще выпадает. Пробовал всякие прячущие олю плагины - без толку.

========================

В принципе я так понимаю, что первым делом надо вручную снять обфускацию. Сделав search by Wilcards в 010Editor по паттернам 2B 02 2B ?? 2B FC, 2B 02 2B ?? 2C FC, 2B 05 38 ?? ?? ?? ?? 2D F9 (паттерны отрыл на reteam.org) я получил лишь очередной облом. Видимо это паттерны для более древней версии crypto obfuscator. Пробовал сам составить паттерны, но видимо плохо шарю в IL опкодах.

Небольшой магический пинок в нужную сторону был бы очень кстати.

Exe здесь: http://www.mirrorcreator.com/files/KNADMHTK/SENuke.rar_links
Полностью прога здесь (установка не нужна): http://www.mediafire.com/?g24152gl99cdg2a

Заранее спасибо!

b2dc_04.06.2011_EXELAB.rU.tgz - CryptoObfuscator.jpg

| Сообщение посчитали полезным:

Ты же в курсе, что SENuke с сервера получает информацию критичную для работы? Т.е. придется либо делать свой сервер, либо что-нибудь ещё

| Сообщение посчитали полезным:

У меня есть версия 1.0.15 - она прекрасно работает без инфы с сервера. Вообще при сабмите никуда налево не коннектится.

Наверное надо добавить, что и эта версия (1.0.38) тоже запускается, даже верификация мыла и постинг в форумы на курле работает. Проблема начинается когда прога начинает рулить IE при сабмите в более сложные сайты. Запускается еще одна проверка - прога коннектится на 92.241.168.10 (імglory) и сервак её отфутболивает .

Сервак создать не проблема. На одном форуме даже подсказали содержание snipurl.php:


| Сообщение посчитали полезным:

Хм, а давно сенюк стали на дотнете выпускать, вроде на ВБ все время был.

Обфускация снимается SAE, только его надо пропатчить для работы с 4 фреймворком.

Вот архив с деобфусцированными строками сенюка и патченный SAE (только ехе) --> Link <--

| Сообщение посчитали полезным: stargazerrrrr