Всю ночь промучался, ничего не получается... Есть софт на C#, обфусцирован похоже Dotfuscator'ом (в комплекте 2 либки Protect32.dll и Protect64.dll). Как я понял все методы из программы перенесены в эти либки, либки импортированы в софт через Dllimport, функции из этих либок вызываются путем инвоков. Пытался менять IL код через SAE и Reflector - после сохранения размер .exe режется, т.е что-то не сохраняется... Так же пробовал делать иньекцию (вставку своего кода) через библиотеку Mono.Cecil - так же безрезультатно... Если в энтрипоинт вставить меседжбокс он нормально выскакивает (даже при порезанном .exe). Почему функции из либок не выполняются после редактирования IL и почему урезается размер .exe понять не могу... Помогите пожалуйста разобраться. Архив с exe и либками http://www.sendspace.com/file/a06hfw

| Сообщение посчитали полезным:

вручную правь, через hex-редактор

| Сообщение посчитали полезным:

А как понять что именно править? Мне надо дописать всего 2 msil инструкции на присваивание значения переменной-аргументу.

| Сообщение посчитали полезным:

как делаю я, смотрю в reflexil'e rva, в hex-редакторе перехожу по rva, смотрю код в reflectore и сравниваю с набором инструкций msil (msil instruction set), там же смотрю на что нужно патчить

ps. в качестве hex-редактора cff-explorer

| Сообщение посчитали полезным:

Как править через hex-редактор не понял, но зато кое что нашел. В общем при загрузке софта из библиотеки Protect32.dll извлекается ещё одна обфусцированная дотнетовская библиотека в домен приложения. Инвоки работают именно с обфусцированной библиотекой которая инжектится в домен, а не с Protect32.dll. Как вариант можно деобфусцировать эту библиотеку и посмотреть что она делает. Имена методов, переменных и т.д написаны иероглифами, может есть какой-то софт который переименует их в более человеческие имена или придется править ручками?

P.S библиотека похоже статическая ибо прикрутив Protect32.dll к своему софту я извлек точно такую-же по содержанию библиотеку.

| Сообщение посчитали полезным:

de4dot пробовал?

| Сообщение посчитали полезным:

Да, стянул из памяти библиотеку и деобфусцировал. Но там мясо ещё то... Пытаюсь разобраться.

| Сообщение посчитали полезным:

Цель - чтобы программа запускалась и не просила ключ ввести? Если да, то:
1. Запускаешь программу, смотришь выдаваемый ID
2. Закрываешь программу, открываешь экзешник в хекс редакторе
3. Ищешь юникодную строку BFEBFBFF000006FA, заменяешь её на ID из пункта 1.
4. Все запускается без ввода ключа

| Сообщение посчитали полезным:

Kaimi пишет:
Цель - чтобы программа запускалась и не просила ключ ввести? Если да, то:
1. Запускаешь программу, смотришь выдаваемый ID
2. Закрываешь программу, открываешь экзешник в хекс редакторе
3. Ищешь юникодную строку BFEBFBFF000006FA, заменяешь её на ID из пункта 1.
4. Все запускается без ввода ключа

Кейген уже написал. Там ID генерируется в зависимости от ID процессора. Интересно как сам обфускатор работает.

| Сообщение посчитали полезным: