eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 12 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: Medsft, Xlab0s, vitlgt (+3 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Основной форум —› Опять .net (part 2)
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 . >>
Посл.ответ Сообщение


Ранг: 1964.0 (!!!!)
Статус: Модератор
retired

Создано: 12 сентября 2017 12:06 New!
Цитата · Личное сообщение · #1

Со времени создания топика много обсудили, во много м разобрались и много осталось за кадром. Решил подшить выкладываемый софт и линки

Инструменты:

dnSpy - бодрый декомпилятор и отладчик тут беты

Gray Wolf - DE-ObfuScatE / Edit IL(Live) / Add payloads / Edit attributes(public/privet) / Copy strong names signing on EXE/DLL
ReSharper 6.0 Build 2093 Pre-Release - Очень навороченый декомпилер, побробности --> ТУТ <--.
Рег-данные:
Code:
  1. User Name: ReSharper EAP User
  2. License Key: 0-A60kqsqDMPkvPrLC3bz1/jmns4/DAUV6
  3. which is valid until 31 March 2010

Reflector 8.3.3.115 - платный декомпилятор .NET 8.3.0.95 + (дополнение к нему)
Седьмая версия рефлектора - думаю все знают
Сборка Add-in'ов для Reflector - есть много полезных вещей
.Net ID 1.0.0.3 - определение защиты
DNiD by Rue - сигнатурный анализатор
Dotnet IL Editor (DILE)- Opensource дизассемблер и дебаггер
Xenocode Fox Code Analyzer- профайлер и дизассемблер
Reactor Decryptor 1.7 - что то декриптит, но что не понятно(с) zeppe1in
Simple Assembly Explor (SAE) - Assembler, Disassembler, Deobfuscator, IL editor and more...
DotNet Dumper 1.0 - Дампер .net'овских приложений. Подробное описание
Kurapica dotNET Tracer 1.1 - трейсер от известного автора инструментов для .net
ILSpy 1.0.0.481 - Opensource комбайн, на подобие SAE. Подробности тут
dotTrace Performance 4.0.665.4 - Неплохой трейсер для .Net приложений. Умеет делать трейсы не смешивая потоки как KDT. Умеет сравнивать трейсы двух запусков программы
Рег-данные:
Code:
  1. Name: exelab
  2. Serial: OLgDSHG0hJghkLdXYJh1IjM3ytMrqKcn

Universal Fixer 1.0 - fix dumps after dumping them whit Dotnet Dumper or other similiar tools and will also fix nasty things: multiple assembly/module definitions, wrong extends, etc.
iMPROVE .NET Deobfuscator - деобфускатор


ConfuserDumper
ConfuserDelegateKiller
CodeCrackerTools: ConfuserMethodsDecryptor, ConfuserDelegateKiller, ConfuserStringDecryptor, MegaDumper, etc.

Документация:
--> Microsoft <--
--> Metadata and File Format <--
--> CIL(опкоды с полным пояснениями) <--

Статьи с хабры:
Защита .NET приложений - Субъективная теоретическая муть с хабры, выдаваемая за обзор обфускаторов(только для фанатов)
Как обмануть NET.Reflector - вот это уже годная статья, в которой рассматривается ручная обфускация в стихах и картинках
Взлом программ для чайников - ну не знаю...прописные истины, но приятно, что все это есть на русском языке и нормально оформлено
Реверс-инжиниринг обфусцированной сборки .NET - один только заголовок чего стоит. По сути статья информативная
Инъекции MSIL кода в стороннюю сборку при помощи Mono.Cecil. Реализация принципов АОП в NET
Избавление .NET программы от регистрации на примере BEM
Снимаем дамп объектов с памяти .Net приложения

Другое:
.NET Reflector v7.0.0.198 (C# Source by wangshy)
String decryption with de4dot

Прошлый топик https://exelab.ru/f/index.php?action=vthread&forum=1&topic=16650&page=-1

-

Last edit: 2012-02-17, Links fixed. Jupiter

| Сообщение посчитали полезным: prorab777


Ранг: 8.0 (гость)
Статус: Участник

Создано: 14 ноября 2017 03:17 New!
Цитата · Личное сообщение · #2

hi every body
i need this tools plz






Ранг: 226.5 (наставник)
Статус: Участник

Создано: 15 ноября 2017 05:38 · Поправил: TryAga1n New!
Цитата · Личное сообщение · #3

B0u3z1z1, https://unknownsharp.weebly.com/productos.html

| Сообщение посчитали полезным: B0u3z1z1


Ранг: 8.0 (гость)
Статус: Участник

Создано: 15 ноября 2017 07:01 New!
Цитата · Личное сообщение · #4

TryAga1n
the link download not working

Ранг: 453.1 (мудрец)
Статус: Участник
Android Reverser

Создано: 19 ноября 2017 10:40 New!
Цитата · Личное сообщение · #5

А как дебажить WindowsRT аппы, которые лежат в "c:\Program Files\WindowsApps\.."?

Ранг: 382.5 (мудрец)
Статус: Участник

Создано: 27 ноября 2017 09:49 · Поправил: dosprog New!
Цитата · Личное сообщение · #6

))
Тупо "играл и не смог раскрутить барабан".
Подскажите All, плз, как в IlSpy (v.2.2.0.1737) установить брейкпоинт?
А то все пункты в меню есть, даже "Remove All Breйkpoints",
а установить брейкпоинт (типа как <F9> в DnSpy) - нету.


Ранг: 288.4 (наставник)
Статус: Участник

Создано: 27 ноября 2017 09:52 New!
Цитата · Личное сообщение · #7

dosprog пишет:
Подскажите All, плз
http://prntscr.com/hfqbi7

| Сообщение посчитали полезным: dosprog


Ранг: 42.3 (посетитель)
Статус: Участник

Создано: 28 ноября 2017 21:22 · Поправил: zds New!
Цитата · Личное сообщение · #8

подскажите советом пожалуйста...
исследовал прогу. вроде бы разобрался с лицензированием, но есть проблема: если запускать прогу прод отладчиком для dotNet (Ilspector или dnSpy), то все работает как надо (все параметры из лицензии читаются, все функции разблокируются и все работает как надо). Но если запускать прогу без отладчика, то она уже не читает некоторые строки лицензии и часть функций не работает. Т.е. под отладчиком прога действует по другому алгоритму.
Явного детекта отладчика (типа isDebuggerPreset или IsAttached) в коде я не нашел. если запустить прогу через OllyDbg (даже чистую без плагинов) или даже вручную поправить isDebuggePreset на 1, то она работает так же как без отладчика. Т.е. програ детектит только dotNet отладчик.
Такое ощущение, что какие-то методы выполняются или не выполняются только под отладчиком или переменные\константы под отладчиком отличаются.
Нашел что есть спец атрибуты методов\классов для отладчика, но среди них не нашел которые могли бы влиять на алгоритм\переменные.
может есть какие-то идеи? уже неделю мучаюсь.....

Ранг: 169.0 (ветеран)
Статус: Участник

Создано: 28 ноября 2017 23:22 New!
Цитата · Личное сообщение · #9

zds пишет:
Такое ощущение, что какие-то методы выполняются или не выполняются только под отладчиком или переменные\константы под отладчиком отличаются.

Н-да. Отличная идея как реализовать защиту!
А вот как искать, где собака зарыта, сходу непонятно...

Ранг: 73.2 (постоянный)
Статус: Участник

Создано: 29 ноября 2017 00:26 New!
Цитата · Личное сообщение · #10

zds
Запуск проги из GAC()
Обмен..
Юзай Ilspector или dnSpy only..

Ранг: 505.2 (!)
Статус: Модератор

Создано: 29 ноября 2017 10:23 New!
Цитата · Личное сообщение · #11

походу тут пару вариантов -
1) детект дебажки
2) запомнили етот факт (где-то, както), желательно замесить с математикой
3) .... время... время...
4) ах дебаггер - получите распишитесь

Ранг: 382.5 (мудрец)
Статус: Участник

Создано: 29 ноября 2017 11:34 · Поправил: dosprog New!
Цитата · Личное сообщение · #12

Даже и думать так не сметь
От этого потом у всех никому не нужный головнякъ


Ранг: 315.6 (мудрец)
Статус: Участник
born to be evil

Создано: 29 ноября 2017 11:38 New!
Цитата · Личное сообщение · #13

sendersu
за это девелоперов надо бить по рукам очень сильно, если софт детектит дебаггер (которого нет), и начинает косячить

Ранг: 42.3 (посетитель)
Статус: Участник

Создано: 29 ноября 2017 12:06 New!
Цитата · Личное сообщение · #14

я правильно понял, что атрибуты типа DebuggerStepThroughAttribute или DebuggerHiddenAttribute не влияют на выполнение кода? т.е. код выполняется в любом случае, просто дебаггер вместо захода в метод F11 выполняет F10 в первом случае или не реагирует на BP во втором

sefkrd
можно по подробнее если не сложно
это предположение причины или руководство к действию? смотрел из Olly из GAC подгружается только несколько системных либ


Ранг: 315.6 (мудрец)
Статус: Участник
born to be evil

Создано: 29 ноября 2017 14:11 New!
Цитата · Личное сообщение · #15

zds
прога патченая? в памяти посмотри, откуда грузятся либы при нормальном запуске. там могут быть из GAC взяты оригинальные. про это, видимо, намекали

Ранг: 42.3 (посетитель)
Статус: Участник

Создано: 29 ноября 2017 14:29 New!
Цитата · Личное сообщение · #16

ajax
нет все без патчей сделано.
я писал выше, что смотрел загруженные либы когда пробовал запускать через olly - из GAC подгружаются только несколько системных библиотек, все остальное грузится из родного каталога

Ранг: 288.4 (наставник)
Статус: Участник

Создано: 29 ноября 2017 16:18 New!
Цитата · Личное сообщение · #17

zds выложи сюда таргет подумаем вместе.

| Сообщение посчитали полезным: sefkrd


Ранг: 42.3 (посетитель)
Статус: Участник

Создано: 30 ноября 2017 01:46 New!
Цитата · Личное сообщение · #18

Проблема решилась установкой апдейта для проги. Надо будет сравнить файлы ради интереса...


Ранг: 315.6 (мудрец)
Статус: Участник
born to be evil

Создано: 4 декабря 2017 17:52 New!
Цитата · Личное сообщение · #19

--> Reflector 9.3 <--

| Сообщение посчитали полезным: sendersu, Dart Raiden


Ранг: 14.7 (новичок)
Статус: Участник

Создано: 6 декабря 2017 20:40 New!
Цитата · Личное сообщение · #20

Добрый всем вечер,

есть таргет, вроде определяется как Agile.NET обфускатор (de4dot не справляется).
Однако, при отладке возникают мессаджбоксы Oreans/Themida.

Неверно определился пакер или я чего-то не знаю?
Прошу совета =)

Ранг: 15.3 (новичок)
Статус: Участник

Создано: 6 декабря 2017 21:07 New!
Цитата · Личное сообщение · #21

freudz, кто же Вам подскажет без таргета? Или Вам нужны бесполезные догадки?

Ранг: 556.7 (!)
Статус: Модератор

Создано: 6 декабря 2017 22:37 New!
Цитата · Личное сообщение · #22

Вобщем, есть софтина из многих mixed-code сборок. И нужно мне в ней в managed части попатчить. Да так чтоб native не поломать. Насколько я помню dnSpy пересборку делает проекта. Может есть утиль которая умеет inplace replacement?
Еще как вариант CLR похучить, но это явно не самый простой способ. Но пример будет кстати.
Еще подошел бы метод типа профайлинга с подменой тел методов на лету. Но по ссылке внешнее приложение профайлит таргет. А я все-таки предпочел бы обвязкой не заморачиваться.
Попутно вопрос: подгрузка сборки не инициирует DLL_THREAD_ATTACH нотифай в нативных либах. Нет ли в CLR колбека, который выполнялся бы раньше всех сразу после подгрузки DLL и до выполнения <Module>.cctor и прочей инициализации? Предзагрузка через LoadLibrary не помогает потому что система не считает подгруженный образ сборкой и грузит ее по новой на другую базу.

Ранг: 14.7 (новичок)
Статус: Участник

Создано: 7 декабря 2017 10:38 · Поправил: freudz New!
Цитата · Личное сообщение · #23

Lambda
Ваша правда =)
(может ореанс прикупила аджайл, думалось так)

Вот тело:
_h_t_t_p_s_://fex.net/#!016461325295

Спасибо!


Ранг: 315.6 (мудрец)
Статус: Участник
born to be evil

Создано: 7 декабря 2017 11:37 New!
Цитата · Личное сообщение · #24

freudz
Agile.NET. прога использует senselock очень "не кисло". так, к размышлению

| Сообщение посчитали полезным: freudz


Ранг: 14.7 (новичок)
Статус: Участник

Создано: 7 декабря 2017 14:58 New!
Цитата · Личное сообщение · #25

ajax,Lambda,ALL!

Помогите распаковать, бьюсь уже долго - результата нет.
Спасибо!

_h_t_t_p_s_://fex.net/#!016461325295

Ранг: 288.4 (наставник)
Статус: Участник

Создано: 7 декабря 2017 16:32 New!
Цитата · Личное сообщение · #26

r_e пишет:
Вобщем, есть софтина
........ а jit уже перехвачен в защите таргета?

Добавлено спустя 2 минуты
freudz пишет:
Помогите распаковать

Тебе как минимум сюда
https://exelab.ru/f/index.php?action=vthread&forum=2&topic=24716
но чтото мне подсказывает что сюда
https://exelab.ru/f/index.php?action=vthread&forum=1&topic=17633

Ранг: 14.7 (новичок)
Статус: Участник

Создано: 7 декабря 2017 18:19 New!
Цитата · Личное сообщение · #27

Medsft
Спасибо за направления, но нет =)
Я тут за советами...

de4dot валится (exception) у меня на методе MethodBodyParser.ParseMethodBody2:
Code:
  1.                               if (codeOffset != 12)
  2.                                    throw new InvalidMethodBody();


codeOffset = 44 в моем случае. И вот ломаю голову о назначении захардкоженных чисел.
Кто-нить может разъяснить?

Спасибо.

Добавлено спустя 8 минут
freudz пишет:
есть таргет, вроде определяется как Agile.NET обфускатор (de4dot не справляется).
Однако, при отладке возникают мессаджбоксы Oreans/Themida.


Теперь понятно...
Ядро рантайма Agile.NET закрыто Themida/Winlicense(2.X)[-]

Ранг: 556.7 (!)
Статус: Модератор

Создано: 7 декабря 2017 19:54 New!
Цитата · Личное сообщение · #28

Medsft
Не JIT не перехвачен. Вопрос с патчем я уже решил. dnSpy + hiew помогли. Так что пока отбой. Но вопросы, конечно, остались.


Ранг: 315.6 (мудрец)
Статус: Участник
born to be evil

Создано: 7 декабря 2017 20:15 New!
Цитата · Личное сообщение · #29

r_e
да, в идеале такие сборки делать байтпатчем

Ранг: 14.7 (новичок)
Статус: Участник

Создано: 8 декабря 2017 09:47 New!
Цитата · Личное сообщение · #30

Хай, ALL

У кого-нить есть AgileDotNetRT.dll версии ниже 6.5.0.2 (6.х), желательно без тхемиды?

Ранг: 505.2 (!)
Статус: Модератор

Создано: 8 декабря 2017 10:23 New!
Цитата · Личное сообщение · #31

1) скорей всего таких нету
2) В чем проблем снять темиду?
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 . >>
 eXeL@B —› Основной форум —› Опять .net (part 2)

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS