Сейчас на форуме: _MBK_, Adler (+6 невидимых)

 eXeL@B —› Вопросы новичков —› .Net Reactor 4.X Eziriz
Посл.ответ Сообщение

Ранг: 4.2 (гость), 1thx
Активность: 0=0
Статус: Участник

Создано: 09 сентября 2011 07:57
· Личное сообщение · #1

Прежде всего - жертва (210 KB)

Сборка защищена сабжем, но максимум, которого я смог добиться - это вот такой вид в Рефлекторе:


Делал я следующее:
- Делал дамп DotNet Dumper'ом, после прогонял полученный дамп через Reactor Decryptor и Universal fixer. Адекватного результата не получил (Рефлектор отказывался отображать дамп)
- Вручную исправлял через CFF NumbersOfRvaAndSizes на 10, убирал SupressIldasmAttribute. Потом Сommand Promt Visual Studio дизассемблировал в ил, убирал пустой класс, и собирал обратно. Собственно, тот самый максимум, которого смог добиться. Исправленный таким образом еxe-шник пытался прогнать через Reactor Decryptor, но тот не находил уже самого реактора в файле...

Буду очень признателен, если вы укажете мне, где я ошибся, или делал что то не так. Вобщем, буду рад любым советам! Заранее спасибо!

| Сообщение посчитали полезным: ospas

Ранг: 1.8 (гость), 2thx
Активность: 0=0
Статус: Участник

Создано: 09 сентября 2011 09:52
· Личное сообщение · #2

По-моему восстановить имена методов не получится, но можно, например, через Kurapica DeObfuscator попытаться их изменить на Function01, Function02 итд(аналогично будет для классов и др.). SAE, насколько я помню, это тоже умеет, там даже по регекспу их поменять можно.

| Сообщение посчитали полезным: EiDeNaR

Ранг: 512.7 (!), 360thx
Активность: 0.270.03
Статус: Модератор

Создано: 09 сентября 2011 10:43
· Личное сообщение · #3

EiDeNaR
из вашего рисунка не видно есть ли код методов классов - ето самое главное



Ранг: 4.2 (гость), 1thx
Активность: 0=0
Статус: Участник

Создано: 09 сентября 2011 10:53
· Личное сообщение · #4

sendersu пишет:
из вашего рисунка не видно есть ли код методов классов - ето самое главное


Нет, кода методов нету. Скрин здесь



Ранг: 137.9 (ветеран), 45thx
Активность: 0.080
Статус: Участник

Создано: 09 сентября 2011 12:34
· Личное сообщение · #5

EiDeNaR
а может это не .Net Reactor? Потому и не получается распаковать.



Ранг: 617.3 (!), 677thx
Активность: 0.540
Статус: Участник

Создано: 09 сентября 2011 12:48
· Личное сообщение · #6

yanus0 пишет:
а может это не .Net Reactor? Потому и не получается распаковать.

Reactor
EiDeNaR пишет:
- Делал дамп DotNet Dumper'ом, после прогонял полученный дамп через Reactor Decryptor и Universal fixer. Адекватного результата не получил (Рефлектор отказывался отображать дамп)

Universal Fixer какая-то невминяемая тулза, после нее не один файл не запустился (хотя я пробовал только ранние версии)
После декриптора нужно пройтись вот этим http://forum.tuts4you.com/topic/23703-net-reactor-header-fixer/




Ранг: 88.2 (постоянный), 111thx
Активность: 0.070.01
Статус: Участник

Создано: 09 сентября 2011 13:27 · Поправил: Airenikus
· Личное сообщение · #7

Во-первых - зачем пользоваться Dumper'ом ? Прога только обфусцирована реактором, не более...

Decryptor и Fixer отлично справляются с задачей и дальше в SAE:



Прога работает и запускается без ошибок:





Ранг: 4.2 (гость), 1thx
Активность: 0=0
Статус: Участник

Создано: 09 сентября 2011 14:35
· Личное сообщение · #8

Airenikus, настройки Decryptor'a и Fixer'a по дефолту? Просто у меня после обработки ими не запускается сборка вообще. И, если не сложно, можете дать ссылки на ваши версии декриптора и фиксера?



Ранг: 512.7 (!), 360thx
Активность: 0.270.03
Статус: Модератор

Создано: 09 сентября 2011 15:17
· Личное сообщение · #9

последнии версии от автора (CodeCracker) здесь
Universal Fixer
http://forum.tuts4you.com/topic/25376-universal-fixer/page__st__20
Reactor Decryptor
http://forum.tuts4you.com/topic/23533-reactor-decryptor-17-earlier-build/page__st__60
DotNet Dumper
http://forum.tuts4you.com/topic/24087-dotnet-dumper-10/page__st__20

| Сообщение посчитали полезным: EiDeNaR, ospas


Ранг: 88.2 (постоянный), 111thx
Активность: 0.070.01
Статус: Участник

Создано: 09 сентября 2011 15:18
· Личное сообщение · #10

Все по-умолчанию

f83e_09.09.2011_EXELAB.rU.tgz - Anti-Reactor.zip

| Сообщение посчитали полезным: EiDeNaR, ospas, igorca

Ранг: 15.1 (новичок), 5thx
Активность: 0.010
Статус: Участник

Создано: 09 сентября 2011 16:29
· Личное сообщение · #11

Пропусти сборку в SAE через деобфускатор, это существенно упростить задачи, имена методов будут так же не особо значащими, но код будет гораздо более наглядным и строки тоже встанут на свои места.
п.с. Невсегда удается сразу деобфусцировать сборки. На практике встречался с методами, где стояли кривые обработчики типа так:
Пустая функция с одной инструкцией ret и обработчиками исключений.
Code:
  1. ret
  2. try 0
  3. try 1
  4. try 2

Удаляешь в SAE код после ret, потом вся сборка деобфусцируется нормально. Найти места таких ошибок можно в рефлекторе, он на таких методах выдает ошибку.

| Сообщение посчитали полезным: Airenikus

Ранг: 4.2 (гость), 1thx
Активность: 0=0
Статус: Участник

Создано: 09 сентября 2011 17:02 · Поправил: EiDeNaR
· Личное сообщение · #12

Airenikus, сделал, как ты сказал. Взял тулзы из архива, что ты скинул. По дефолту прогнал по ним. Сначала Decryptor'ом, потом Fixer'ом. Вот что в итоге получилось:


Результат отличается от твоего




Ранг: 88.2 (постоянный), 111thx
Активность: 0.070.01
Статус: Участник

Создано: 09 сентября 2011 17:17
· Личное сообщение · #13

Ну я еще деобфусцировал же Правой кнопкой мыши и там увидешь...



Ранг: 4.2 (гость), 1thx
Активность: 0=0
Статус: Участник

Создано: 09 сентября 2011 17:45
· Личное сообщение · #14

Airenikus, Спасибо поигрался с настройками деобфускатора, и все получилось! Теперь осталось снять триал Но с этим я уж как-нибудь справлюсь!


 eXeL@B —› Вопросы новичков —› .Net Reactor 4.X Eziriz
Эта тема закрыта. Ответы больше не принимаются.
   Для печати Для печати