Русский / Russian English / Английский

Сейчас на форуме:
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Основной форум —› Опять .net
. 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 49 . 50 . >>
Посл.ответ Сообщение

Ранг: 60.6 (постоянный)
Статус: Участник

Создано: 30 августа 2010 22:59 · Поправил: 2 сентября 2016 10:10 s0l New!
Цитата · Личное сообщение · #1

Со времени создания топика много обсудили, во много м разобрались и много осталось за кадром. Решил подшить выкладываемый софт и линки

Инструменты:

dnSpy - бодрый декомпилятор и отладчик тут беты

Gray Wolf - DE-ObfuScatE / Edit IL(Live) / Add payloads / Edit attributes(public/privet) / Copy strong names signing on EXE/DLL
ReSharper 6.0 Build 2093 Pre-Release - Очень навороченый декомпилер, побробности --> ТУТ <--.
Рег-данные:
Code:
  1. User Name: ReSharper EAP User
  2. License Key: 0-A60kqsqDMPkvPrLC3bz1/jmns4/DAUV6
  3. which is valid until 31 March 2010

Reflector 8.3.3.115 - платный декомпилятор .NET 8.3.0.95 + (дополнение к нему)
Седьмая версия рефлектора - думаю все знают
Сборка Add-in'ов для Reflector - есть много полезных вещей
.Net ID 1.0.0.3 - определение защиты
DNiD by Rue - сигнатурный анализатор
Dotnet IL Editor (DILE)- Opensource дизассемблер и дебаггер
Xenocode Fox Code Analyzer- профайлер и дизассемблер
Reactor Decryptor 1.7 - что то декриптит, но что не понятно(с) zeppe1in
Simple Assembly Explor (SAE) - Assembler, Disassembler, Deobfuscator, IL editor and more...
DotNet Dumper 1.0 - Дампер .net'овских приложений. Подробное описание
Kurapica dotNET Tracer 1.1 - трейсер от известного автора инструментов для .net
ILSpy 1.0.0.481 - Opensource комбайн, на подобие SAE. Подробности тут
dotTrace Performance 4.0.665.4 - Неплохой трейсер для .Net приложений. Умеет делать трейсы не смешивая потоки как KDT. Умеет сравнивать трейсы двух запусков программы
Рег-данные:
Code:
  1. Name: exelab
  2. Serial: OLgDSHG0hJghkLdXYJh1IjM3ytMrqKcn

Universal Fixer 1.0 - fix dumps after dumping them whit Dotnet Dumper or other similiar tools and will also fix nasty things: multiple assembly/module definitions, wrong extends, etc.
iMPROVE .NET Deobfuscator - деобфускатор


ConfuserDumper
ConfuserDelegateKiller
CodeCrackerTools: ConfuserMethodsDecryptor, ConfuserDelegateKiller, ConfuserStringDecryptor, MegaDumper, etc.

Статьи с хабры:
Защита .NET приложений - Субъективная теоретическая муть с хабры, выдаваемая за обзор обфускаторов(только для фанатов)
Как обмануть NET.Reflector - вот это уже годная статья, в которой рассматривается ручная обфускация в стихах и картинках
Взлом программ для чайников - ну не знаю...прописные истины, но приятно, что все это есть на русском языке и нормально оформлено
Реверс-инжиниринг обфусцированной сборки .NET - один только заголовок чего стоит. По сути статья информативная
Инъекции MSIL кода в стороннюю сборку при помощи Mono.Cecil. Реализация принципов АОП в NET
Избавление .NET программы от регистрации на примере BEM
Снимаем дамп объектов с памяти .Net приложения

Другое:
.NET Reflector v7.0.0.198 (C# Source by wangshy)
[url=http://lifeinhex.com/string-decryption-with-de4dot/]String decryption with de4dot[/url

-

Last edit: 2012-02-17, Links fixed. Jupiter]

Ранг: 137.9 (ветеран)
Статус: Участник

Создано: 30 августа 2010 23:24 · Поправил: yanus0 New!
Цитата · Личное сообщение · #2

s0l
Попробуй определить с помощью [url=http://rongchaua.net/Web/Tool/DotNet Id.zip]--> DotNet Id<--[/url] чем обработан файл.

Ранг: 60.6 (постоянный)
Статус: Участник

Создано: 30 августа 2010 23:36 · Поправил: s0l New!
Цитата · Личное сообщение · #3

yanus0
Никогда не слышал о таком софте, спасибо.
Результат:
Code:
  1. MaxToCode                 100%
  2. .Net Reactor           0%
  3. Rustemsoft Skater          0%
  4. Goliath Obfuscator                 0%
  5. PE Compact               0%
  6. Spices Obfuscator          0%
  7. Themida                  0%
  8. Dotfuscator             0%
  9. Xenocode          0%
  10. Smart Assembly       0%
  11. CliSecure              0%
  12. Phoenix Protector          0%
  13. CodeVeil                0%


Пошел курить мануалы от RE-Team =))
-
Нашел только анпакер(качается пока) и Notes on Reversing MaxtoCode Assemblies, конкретной информации по проту так и не нашел. Может у кого есть?


Ранг: 127.3 (ветеран)
Статус: Участник

Создано: 12 сентября 2010 22:59 New!
Цитата · Личное сообщение · #4

s0l
я тут встретил похожую фигню. и на деле это оказалось .Net Reactor'ом.
https://www.exelab.ru/f/index.php?action=vthread&forum=3&topic=16555
что то декриптит, но что не понятно)


Ранг: 631.1 (!)
Статус: Участник
Автор VB Decompiler

Создано: 13 сентября 2010 09:51 New!
Цитата · Личное сообщение · #5

s0l

Моим декомпилятором пробовал открывать свой EXE?

Ранг: 60.6 (постоянный)
Статус: Участник

Создано: 26 сентября 2010 01:17 New!
Цитата · Личное сообщение · #6

И снова спотыкаюсь... кто-нибудь видел такое? О_о

.Net Id:
Code:
  1. Goliath Obfuscator        0%
  2. Rustemsoft Skater        0%
  3. .Net Reactor        0%
  4. PE Compact        0%
  5. Spices Obfuscator        0%
  6. Themida           0%
  7. CliSecure           0%
  8. Dotfuscator        0%
  9. Xenocode        0%
  10. Smart Assembly        0%
  11. Phoenix Protector        0%
  12. MaxToCode        0%
  13. CodeVeil           0%

Программа на русском языке, написана русскими и никакого отношения к китайским иероглифам не имеет =\


Ранг: 748.2 (! !)
Статус: Участник
bytecode!

Создано: 26 сентября 2010 03:02 New!
Цитата · Личное сообщение · #7

Тела методов снова пустые?

Ранг: 80.6 (постоянный)
Статус: Участник

Создано: 26 сентября 2010 08:06 New!
Цитата · Личное сообщение · #8

s0l пишет:
кто-нибудь видел такое?


Такое практически на каждом шагу...
SAE в руки и вперед.

Ранг: 510.4 (!)
Статус: Модератор

Создано: 26 сентября 2010 08:29 New!
Цитата · Личное сообщение · #9

у кого вылетает плагин к Рефлектору (Reflector) FileDisassembler - сделал фикс

rapidshare.com/files/421332478/Reflector.FileDisassembler.dll
MD5: 8029A014842CC145C70C7AAE98ECCC46

Детали фикса
вылет на сборках где имена файла/директории или вместе > 260 символов.
если такое встречается (часто есть в сборка что используют C++/std) - плаг вылетакет, сделал обрезание до 260 и теперь пишет все файлы на диск

Ранг: 60.6 (постоянный)
Статус: Участник

Создано: 26 сентября 2010 08:54 New!
Цитата · Личное сообщение · #10

4kusNick пишет:
Тела методов снова пустые?

Иногда что-то вроде
Code:
  1. private sealed class <>c__DisplayClass2
  2. {
  3.     // Fields
  4.     public d <>4__this;
  5.     public string &#21933;;
  6.  
  7.     // Methods
  8.     public <>c__DisplayClass2();
  9.     public void &#21934;(int progress, string label);
  10.  
  11.     // Nested Types
  12.     private sealed class <>c__DisplayClass4
  13.     {
  14.         // Fields
  15.         public d.<>c__DisplayClass2 &#21935;;
  16.         public int &#21936;;
  17.         public string &#21937;;
  18.  
  19.         // Methods
  20.         public <>c__DisplayClass4();
  21.         public void &#21938;();
  22.     }
  23. }

А иногда руфлектор просто вылетает с ошибкой.

uncleua
Что-такое SAE? В гугле не нашел ничего похожего

sendersu
Спасибо, но в моем случае не поможет

Ранг: 510.4 (!)
Статус: Модератор

Создано: 26 сентября 2010 10:16 New!
Цитата · Личное сообщение · #11

s0l

Simple Assembly Explor (SAE) is a FREE .Net assembly tool which include:
Assembler
Disassembler
Deobfuscator
IL editor
Profiler
Plugins support
and more ...

hxxp://code.google.com/p/simple-assembly-explorer/

| Сообщение посчитали полезным: s0l


Ранг: 80.6 (постоянный)
Статус: Участник

Создано: 26 сентября 2010 12:22 · Поправил: uncleua New!
Цитата · Личное сообщение · #12

s0l пишет:
Программа на русском языке, написана русскими и никакого отношения к китайским иероглифам не имеет =\


Просто во многих(может даже практически во всех) обфускаторах имеется опция навроде - Переименовывать имена классов и методов используя символы Юникоде.
Отсюда и иероглифы...


Ранг: 748.2 (! !)
Статус: Участник
bytecode!

Создано: 16 октября 2010 23:15 New!
Цитата · Личное сообщение · #13

Немного бесполезной инфы из противоположного лагеря
habrahabr.ru/blogs/net/106262/

Ранг: 156.1 (ветеран)
Статус: Участник
Капрал

Создано: 29 октября 2010 14:43 New!
Цитата · Личное сообщение · #14

А есть чем можно поотлаживать ? А то я функцию нашел, но она реализована через интерфейс, и как бы внутри пустая. Где её код я так и не понял. Поэтому хотелось бы подебажить.
текстовый mdbg чето не канает
DbgCLR так и не смог найти Есть какие сторонние тулзы ?


Ранг: 164.6 (ветеран)
Статус: Участник
Волшебник

Создано: 29 октября 2010 15:21 New!
Цитата · Личное сообщение · #15

freeExec пишет:
А то я функцию нашел, но она реализована через интерфейс, и как бы внутри пустая.

Никакого интерфейса, функция действительно пустая. А в конструкторе объекта создаётся с помощью вроде как рефлексии настоящая функция.


Ранг: 748.2 (! !)
Статус: Участник
bytecode!

Создано: 29 октября 2010 15:54 New!
Цитата · Личное сообщение · #16

Для дебага дотнета можно юзать Dile или PEBrowse www.smidgeonsoft.prohosting.com/
Самому не приходилось отлаживать, как-то без этого обычно обходилось.


Ранг: 793.4 (! !)
Статус: Участник
Шаман

Создано: 29 октября 2010 17:32 New!
Цитата · Личное сообщение · #17

4kusNick пишет:
или PEBrowse
че то он на более менее защитах, которые умеют генерить сепшены умирает сразу и толку от него 0, впрочем как и 3 года назад, для х86 режима.


Ранг: 631.1 (!)
Статус: Участник
Автор VB Decompiler

Создано: 29 октября 2010 18:37 New!
Цитата · Личное сообщение · #18

Повторный вопрос. Моим декомпилем ктонить пробовал подобное открывать?
Просьба у кого есть минута времени запулить такие файлы мне на мыло (если там именно обфускация, то бишь все структуры читать можно, а не прот сверху висит).

Ранг: 510.4 (!)
Статус: Модератор

Создано: 29 октября 2010 19:10 New!
Цитата · Личное сообщение · #19

GPcH пишет:
Моим декомпилем ктонить пробовал подобное открывать?

а где он, имеется в виду .NET деобфускатор или что)

Ранг: 67.4 (постоянный)
Статус: Участник

Создано: 29 октября 2010 19:10 · Поправил: Kiev78 New!
Цитата · Личное сообщение · #20

---

Ранг: 510.4 (!)
Статус: Модератор

Создано: 29 октября 2010 19:33 New!
Цитата · Личное сообщение · #21

у кого есть опыт дебага .NET в PEBrowse Interactive - оно умеет на уровне IL дебажить?


Ранг: 748.2 (! !)
Статус: Участник
bytecode!

Создано: 29 октября 2010 21:43 New!
Цитата · Личное сообщение · #22

sendersu пишет:
а где он, имеется в виду .NET деобфускатор или что)

VB декомпиль (он и .NET умеет).


Ранг: 307.7 (мудрец)
Статус: Участник

Создано: 30 октября 2010 01:28 New!
Цитата · Личное сообщение · #23

sendersu
у кого вылетает плагин к Рефлектору (Reflector) FileDisassembler - сделал фикс

Перелей плиз, там лимит исчерпан =(


Ранг: 631.1 (!)
Статус: Участник
Автор VB Decompiler

Создано: 30 октября 2010 09:01 New!
Цитата · Личное сообщение · #24

sendersu пишет:
а где он, имеется в виду .NET деобфускатор или что)


www.vb-decompiler.org

Ранг: 510.4 (!)
Статус: Модератор

Создано: 30 октября 2010 17:13 New!
Цитата · Личное сообщение · #25

GPcH
спасибо!
не знал что ваш тул еще и дотНет умеет делать

Ранг: 510.4 (!)
Статус: Модератор

Создано: 30 октября 2010 17:25 New!
Цитата · Личное сообщение · #26

mysterio пишет:
Перелей плиз, там лимит исчерпан =(


hxxp://rapidshare.com/files/427961637/FileDisassembler.zip
добавил описание фикса в FileDisassembler\Version.txt


Ранг: 748.2 (! !)
Статус: Участник
bytecode!

Создано: 29 ноября 2010 03:00 New!
Цитата · Личное сообщение · #27

Как обмануть NET.Reflector
habrahabr.ru/blogs/net/108955/
(в аттаче - копия поста и все комменты на данный момент)

{ Атач доступен только для участников форума } - net.doc

Ранг: 516.1 (!)
Статус: Участник

Создано: 29 ноября 2010 10:36 New!
Цитата · Личное сообщение · #28

думается что SAE на такие штуки не клюнет


Ранг: 748.2 (! !)
Статус: Участник
bytecode!

Создано: 3 декабря 2010 03:09 New!
Цитата · Личное сообщение · #29

Взлом (.NET) программ для чайников
habrahabr.ru/blogs/net/109117/

Ранг: 9.6 (гость)
Статус: Участник

Создано: 6 декабря 2010 14:48 New!
Цитата · Личное сообщение · #30

Господа, у меня аналогичная проблема. Сборка не открывается даже в SAE (видимо в связи с обновлением Reactor-а). Мне собственно, нужно только метаданные восстановить (дальше уже IL подправлю сам). Раньше было просто - я пользовал Mono.Cecil:
Code:
  1. var asm = AssemblyFactory.GetAssembly(filename);
  2. AssemblyFactory.SaveAssembly(asm, filename);

Есть у кого-то решения, как восстановить метаданные?

З.Ы. GPcH, ваш проект видел, сборка открылась, но что с ней делать дальше в рамках вашей программы - так и не понял.
ссылка на софт:

_hххp://www.smartquant.com/openquant/install/OpenQuant.msi
целевая сборка - SmartQuant.dll (в предыдущих версиях по крайней мере было в ней все)
. 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 49 . 50 . >>
 eXeL@B —› Основной форум —› Опять .net
Эта тема закрыта. Ответы больше не принимаются.

Видеокурс ВЗЛОМ