Русский / Russian English / Английский

Сейчас на форуме: (+4 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Основной форум —› немогу понять что сделали со сборкой .Net
Посл.ответ Сообщение

Ранг: 7.2 (гость)
Статус: Участник

Создано: 11 января 2010 15:21 · Поправил: alexeyshevchenko New!
Цитата · Личное сообщение · #1

При открытии в разных декомпиляторах вроде( Decompiler.NET, .NET Reflector ... пробовал окало 20 штук) выподает сообщение например при использовании 9Rays :
Exception message:
Cannot resolve record in TypeDesc reference table. Token:0x02003fff
Method that throws:
\u15.\u56 \u15(Int32, Boolean)
Declaring type:
\u15.\u5\u12
Declaring assembly:
\u15.\u5\u12, NineRays.ILOMD, Version=5.4.6.0, Culture=neutral, PublicKeyToken=59d4bed864488801
StackTrace:
.....
при использовании Reflactor выдаёт : выход за приделы диапозона значений ...

Собственно вопрос состоит в том как определить что сделали со сборкай . Создаётся впечатление что её упаковали если так то как её можно распаковать? Пробовал много депаков ни один не помог

{ Атач доступен только для участников форума } - dll


Ранг: 127.3 (ветеран)
Статус: Участник

Создано: 11 января 2010 17:44 New!
Цитата · Личное сообщение · #2

юзай PEVerify, например в Simple Assembly Explorer есть.
он говорит
[MD](0x80131205): Error (Structural): Table=0x00000002, Col=0x00000003, Row=0x00000002, has coded rid out of range.
дальше берёш CFF explorer, открываеш нужную таблиу, нужную строку и правиш нужное поле. там типо FFFC меняеш на 0. всё поправиш классы будут открываца в рефлекторе, а певерифи другие ошибки тебе покажет.

Ранг: 42.1 (посетитель)
Статус: Участник

Создано: 11 января 2010 18:08 New!
Цитата · Личное сообщение · #3

Не так всё просто. Можно исправить классы, итд, но большинство методов не содержит IL кода. Защита основана на x86 коде, типа NecroBits в Eziriz .NET Reactor.

x86 код начинается на RVA=2A68:
Code:
  1. 00402A68  jmp     short loc_402A97
  2. ..
  3. 00402A97  push    dword ptr [esp+0Ch]
  4. 00402A9B  push    dword ptr [esp+0Ch]
  5. 00402A9F  push    dword ptr [esp+0Ch]
  6. 00402AA3  call    loc_402AAB
  7. ..
  8. 00402AAB  sub     dword ptr [esp], -34Bh
  9. 00402AB2  push    ebp
  10. 00402AB3  mov     ebp, esp
  11. 00402AB5  add     esp, 0FFFFFFD8h
  12. ..

Там думать надо, а мне сегодня не хочется..


Ранг: 127.3 (ветеран)
Статус: Участник

Создано: 11 января 2010 18:21 · Поправил: zeppe1in New!
Цитата · Личное сообщение · #4

DarkWolf пишет:
Не так всё просто

точняк. походу это CodeVeil 3. а он хукает компиляцию методов и расшифровывает ил код на лету.
готовых решений по распаковке я не встречал.
а что такое NecroBits?

Ранг: 42.1 (посетитель)
Статус: Участник

Создано: 11 января 2010 18:32 New!
Цитата · Личное сообщение · #5

zeppe1in: Я CodeVeil 3 не разбирал, но по описанию очень похоже. "NecroBit is a powerful protection technology which stops decompilation. NecroBit replaces the CIL code within methods with encrypted code."

Ранг: 7.2 (гость)
Статус: Участник

Создано: 12 января 2010 12:36 New!
Цитата · Личное сообщение · #6

последняя версия {smartassembly} оптимизирует библиотеку так что в ней можно копаться при помощи рефлекта но действительно нет кода ни у одного метода .... кроме мусора .....DarkWolf подскожи мне ламеру как(чем) ты посмотрел x86 код

Ранг: 42.1 (посетитель)
Статус: Участник

Создано: 12 января 2010 17:36 New!
Цитата · Личное сообщение · #7

alexeyshevchenko пишет:
подскожи мне ламеру как(чем) ты посмотрел x86 код

Если ты "ламер", то лучше сразу пиши в запросах на взлом..

Берёшь ИДА, грузишь библиотеку, в диалоге "Load a new file" указываешь "Portable executable for 80386", находишь адрес 00402A68 и нажимаешь "C". ИДА проанализирует часть кода, которая не зашифрована. А дальше будет геморой.

Ранг: 7.2 (гость)
Статус: Участник

Создано: 18 января 2010 00:13 · Поправил: alexeyshevchenko New!
Цитата · Личное сообщение · #8

в запросах на взлом писал , видимо тут нет специалистов такова уровня поэтому приходится самому разбираться, DarkWolf подскажи а как в ИДА можно править asm и вообще можно это делать?


Ранг: 2006.0 (!!!!)
Статус: Модератор
retired

Создано: 18 января 2010 11:32 New!
Цитата · Личное сообщение · #9

Править лучше не в иде, ибо там геморно включается меню патча да и патчится коряво, а в той же ольке/хуёв. Почитай статьи для новичков лучше с такими вопросами.
 eXeL@B —› Основной форум —› немогу понять что сделали со сборкой .Net

Видеокурс ВЗЛОМ