Как легко поймать проверку на модификацию dll кода С# в этой самой dll?

Сейчас на форуме: tyns777, localhost1, vsv1, asfa (+6 невидимых)

Посл.ответ	Сообщение
friend Ранг: 13.2 (новичок), 13thx Активность: 0.28=0.28 Статус: Участник	Создано: 10 февраля 2020 01:59 · Личное сообщение · #1 App: https://cdn.manictime.com/setup/v4_4_8_0/ManicTimeUsb.zip У софта есть полный триал на 15 дней. Раньше я патчил их хардкод с 0F (15 days) на 7F и обновлял софт раз в пол года. Теперь при патче падает софт. Сам чек на триал в Finkit.ManicTime.Common.O.dll Раньше выглядел так ~: Code: private int c189f3af62b1fa98a21e1fddd4d5c40cb { get { if (!this.c43e5e03e99e098c6295d7a9830ba6399()) { return 127; // PATCH } return this.ExtendedTrialPeriod; } } Сейчас вот: Code: // Token: 0x0200001F RID: 31 internal class \uE013 : ITrialProvider { // Token: 0x17000012 RID: 18 // (get) Token: 0x060000AC RID: 172 RVA: 0x000074FC File Offset: 0x000056FC private int \uE000 { get { if (!\uE269.\uE000(this)) { return \uE018.\uE000(127); // PATCH } return \uE26A.\uE000(this); } } // Token: 0x17000013 RID: 19 // (get) Token: 0x060000AD RID: 173 RVA: 0x0000751C File Offset: 0x0000571C public int TrialDaysLeft { get { if (!\uE26B.\uE000(this.\uE007)) { return \uE26C.\uE000(this) - \uE267.\uE000(this.\uE007) + \uE018.\uE000(1); } return \uE018.\uE000(0); } } Есть какой простой вариант это обойти или надо обучаться Шарпу? А если надо то можно подсказки какие АПИ открывают и читают файлы и делают хэши? И как ставить бряки в dnSpy на код dll если дебажить сам ехе?

_MBK_ Ранг: 63.5 (постоянный), 35thx Активность: 0.29↗0.96 Статус: Участник	Создано: 10 февраля 2020 03:57 · Личное сообщение · #2 Скорее всего, где то в другом месте добавили проверку на целостность кода. Проверять могут как угодно, могут, например, вообще код подписать. Как именно падает? Если поправить что-нибудь незначительное в другом месте - падает с теми же симптомами?
LinXP Ранг: 89.1 (постоянный), 134thx Активность: 0.06↗0.07 Статус: Участник	Создано: 10 февраля 2020 06:04 · Личное сообщение · #3 https://www.upload.ee/files/11107357/ManicTime_Patch_v1.5_By_DFoX.rar.html
friend Ранг: 13.2 (новичок), 13thx Активность: 0.28=0.28 Статус: Участник	Создано: 10 февраля 2020 13:47 · Личное сообщение · #4 Варез варезом, хотелось понять что к чему. Понял как ставить бряки на дллки. Нашёл call stack после unhandled exception. Вроде уходим в fastfail по приказу авторов софта. num14, num8 долго возят, в этом цикле похожем на проверку каких-то байтов. ptr pointer на байты в середине начинается использоваться Code: byte* ptr3 = ptr + (uint)(ptr + 60); num9 = (ushort)(ptr3 + 6); ushort num10 = (ushort)(ptr3 + 20); uint* ptr4 = null; ptr2 = (uint*)(ptr3 + 24 + num10); num = -12; goto IL_55; Занопив проверку num14 == num8 софт всё равно падает... Почему?
Mishar_Hacker Ранг: 88.2 (постоянный), 58thx Активность: 0.11↘0.04 Статус: Участник	Создано: 10 февраля 2020 14:28 · Личное сообщение · #5 friend Потому что дебажить надо дальше, а лучше всего снять обфускатор и нормально посмотреть на код
_MBK_ Ранг: 63.5 (постоянный), 35thx Активность: 0.29↗0.96 Статус: Участник	Создано: 10 февраля 2020 14:52 · Личное сообщение · #6 friend пишет: софт всё равно падает... Падает туда же или куда то еще?
friend Ранг: 13.2 (новичок), 13thx Активность: 0.28=0.28 Статус: Участник	Создано: 13 февраля 2020 16:59 · Личное сообщение · #7 Mishar_Hacker пишет: Потому что дебажить надо дальше, а лучше всего снять обфускатор и нормально посмотреть на код Дебажить трудно когда хеллоу ворлд на Шарпе написать не можешь... :> Дедот не справляется. _MBK_ пишет: Падает туда же или куда то еще? Туда же, стандартный хэндлер всех анхэндлд ксепшинс видать, но с другого места. C# src Code: internal class \uE01D { // Token: 0x060000FC RID: 252 RVA: 0x0001299C File Offset: 0x00010B9C internal unsafe static void \uE000() { Module module = typeof(\uE01D).Module; byte* ptr = (byte)((void)Marshal.GetHINSTANCE(module)); if (ptr == -1) { return; } string fullyQualifiedName = module.FullyQualifiedName; bool flag = fullyQualifiedName.Length > 0 && fullyQualifiedName[0] == '<'; uint num8; uint num14; for (;;) { IL_129: int num = -6; int num2 = -16; for (;;) { num2 ^= 25; for (;;) { IL_E9: int num3 = -14; int num4 = 14; for (;;) { num4 ^= 21; for (;;) { int num5 = 59; for (;;) { switch (num5 ^ 35) { case 24: switch (num4) { case 25: switch (num3 + 32) { case 0: switch (num2 + 25) { case 0: goto IL_129; case 1: { uint num6; uint num7; uint* ptr2; ushort num9; uint num11; uint num12; int num13; switch (num + 30) { case 0: num6 = 1491687505U; num = -5; goto IL_55; case 1: if (num7 != 2381882584U) { num = -15; goto IL_55; } goto IL_26D; case 2: ptr2 += 8; num = -14; goto IL_55; case 3: num8 = 1656726012U; num = -9; goto IL_55; case 4: { byte* ptr3 = ptr + (uint)(ptr + 60); num9 = (ushort)(ptr3 + 6); ushort num10 = (ushort)(ptr3 + 20); uint* ptr4 = null; ptr2 = (uint)(ptr3 + 24 + num10); num = -12; goto IL_55; } case 5: num11 = 1109506061U; num = -7; goto IL_55; case 6: num12 = 1762866009U; num = -2; goto IL_55; case 7: num13 = 0; num = -16; goto IL_55; case 8: IL_21F: num7 = (ptr2++) * (ptr2++); num = -1; goto IL_55; case 9: num14 = 0U; num = -11; goto IL_55; case 10: if (num13 != 0) { num = -10; goto IL_55; } goto IL_350; case 11: if (num7 != 1118119882U) { num = -8; goto IL_55; } goto IL_26D; case 12: goto IL_342; } goto Block_5; IL_350: if (num13 >= (int)num9) { goto Block_16; } goto IL_21F; IL_342: num13++; goto IL_350; IL_26D: uint num15 = ptr2 >> 2; uint num16 = ptr2[2]; uint* ptr5 = (uint)(ptr* + (UIntPtr)(flag ? ptr2[3] : ptr2[1]) / 4); if (num7 == 2381882584U) { ptr5 += 2; num15 -= 2U; num15 -= 27U; } uint num17 = 0U; if (num17 != 0U) { goto IL_2C5; } IL_2F1: if (num17 >= num15) { if (num7 == 2381882584U) { uint num18 = 0U; if (num18 != 0U) { goto IL_307; } IL_317: if ((ulong)num18 >= 27UL) { goto IL_32D; } IL_307: num14 = (ptr5++); num18 += 1U; goto IL_317; } IL_32D: ptr2 += 8; goto IL_342; } IL_2C5: uint num19 = (ptr5++); uint num20 = (num12 ^ num19) + (num6 + num11) + num8; num12 = num6; num6 = num11; num11 = num8; num8 = num20; num17 += 1U; goto IL_2F1; } case 2: break; default: num3 = -13; goto IL_6D; } IL_55: num ^= 28; goto IL_117; case 1: goto IL_117; case 2: goto IL_124; } goto Block_3; IL_117: num2 = -15; num3 = -16; break; case 26: goto IL_E9; case 27: break; default: num5 = 58; continue; } IL_6D: num3 ^= 18; goto IL_C1; case 25: goto IL_C1; case 26: goto IL_CB; } break; IL_C1: num4 = 12; num5 = 57; } } IL_CB: continue; Block_3: num4 = 15; } } IL_124: continue; Block_5: num2 = -2; } } Block_16: if (num14 != num8) { \uE01D.\uE001(); } } Переименовал пару вещей что бы скормить это дело компилью с -О3, посмотреть что будет: typedef unsigned int uint; typedef unsigned char byte; typedef unsigned short ushort; typedef unsigned long ulong; C#: byte* ptr = (byte)((void)Marshal.GetHINSTANCE(module)); C char somemem[1024]; byte* ptr = (byte)somemem; ~line142 C# uint ptr5 = (uint)(ptr + (UIntPtr)(flag ? ptr2[3] : ptr2[1]) / 4); C uint ptr5 = (uint)( ptr + (??WHATCAST??) (flag ? ptr2[3] : ptr2[1]) / 4 ); ptr2[i] returns uint cast it to something divide by 4 plus ptr (ptr type is byte) uint* ptr5 = (uint)( ptr + (uint) (flag ? ptr2[3] : ptr2[1]) / 4 ); // uint* cast Правильно кастить в uint? Деление на 4 не понимаю. Добавлено спустя 40 минут* https://godbolt.org/z/pgs4c3
uncleua Ранг: 81.0 (постоянный), 88thx Активность: 0.07↘0.02 Статус: Участник	Создано: 13 февраля 2020 18:21 · Личное сообщение · #8 Что-то не то, видимо, патчишь... У меня с модифицированной дллкой все запускается - https://www.screenpresso.com/=HGoX \| Сообщение посчитали полезным: friend
Medsft Ранг: 330.4 (мудрец), 334thx Активность: 0.16↗0.17 Статус: Участник ILSpector Team	Создано: 13 февраля 2020 18:21 · Поправил: Medsft · Личное сообщение · #9 то что ты показал код в предидущем посте это элемент защиты, занопь еще еще вызов и будет тебе счастье Перевожу на русский язык занопь все вызовы метода \uE000() Вангую что ты не знаешь как их найти: в dnspy или еще где встаешь на нем в дереве -> вызов контекстного меню а там Analise а в нем Used By \| Сообщение посчитали полезным: friend
friend Ранг: 13.2 (новичок), 13thx Активность: 0.28=0.28 Статус: Участник	Создано: 13 февраля 2020 20:11 · Личное сообщение · #10 uncleua пишет: У меня с модифицированной дллкой все запускается - https://www.screenpresso.com/=HGoX Так это ж другая дллка, так не честно... Medsft пишет: Вангую что ты не знаешь как их найти Не, я ведь уже продвинутый. Для полного счастья хотелось бы узнать как бы поставить бряк на чтение моего патча. Понять что это за странный чек такой, вроде немного байт проверяет (я loop'ов не вижу), a мой патч под него попался... Протектор .Net reactor? Вопрос по dnSpy: чё он сразу в implementation не прыгает когда я на метод кликаю?
Medsft Ранг: 330.4 (мудрец), 334thx Активность: 0.16↗0.17 Статус: Участник ILSpector Team	Создано: 14 февраля 2020 08:49 · Личное сообщение · #11 friend пишет: я loop'ов не вижу про оператор for ) что нибудь знаешь? friend пишет: Вопрос по dnSpy: чё он сразу в implementation не прыгает когда я на метод кликаю? он такой)
RAMZEZzz Ранг: 85.5 (постоянный), 16thx Активность: 0.04↗0.05 Статус: Участник	Создано: 19 февраля 2020 12:16 · Личное сообщение · #12 friend пишет: Протектор .Net reactor? на Babel похоже, Вместо Environment.FailFast сделать NOP (правый клик - Edit IL Code, del все строки кроме ret, ОК, File - Save module). А этот код - это самопроверка.

Для печати