eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
обновлён 2 декабря!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: zds, SDK (+7 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Основной форум —› Опять .net (part 2)
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 14 . 15 . >>
Посл.ответ Сообщение


Ранг: 1995.9 (!!!!)
Статус: Модератор
retired

Создано: 12 сентября 2017 12:06 New!
Цитата · Личное сообщение · #1

Со времени создания топика много обсудили, во много м разобрались и много осталось за кадром. Решил подшить выкладываемый софт и линки

Инструменты:

dnSpy - бодрый декомпилятор и отладчик тут беты

Gray Wolf - DE-ObfuScatE / Edit IL(Live) / Add payloads / Edit attributes(public/privet) / Copy strong names signing on EXE/DLL
ReSharper 6.0 Build 2093 Pre-Release - Очень навороченый декомпилер, побробности --> ТУТ <--.
Рег-данные:
Code:
  1. User Name: ReSharper EAP User
  2. License Key: 0-A60kqsqDMPkvPrLC3bz1/jmns4/DAUV6
  3. which is valid until 31 March 2010

Reflector 8.3.3.115 - платный декомпилятор .NET 8.3.0.95 + (дополнение к нему)
Седьмая версия рефлектора - думаю все знают
Сборка Add-in'ов для Reflector - есть много полезных вещей
.Net ID 1.0.0.3 - определение защиты
DNiD by Rue - сигнатурный анализатор
Dotnet IL Editor (DILE)- Opensource дизассемблер и дебаггер
Xenocode Fox Code Analyzer- профайлер и дизассемблер
Reactor Decryptor 1.7 - что то декриптит, но что не понятно(с) zeppe1in
Simple Assembly Explor (SAE) - Assembler, Disassembler, Deobfuscator, IL editor and more...
DotNet Dumper 1.0 - Дампер .net'овских приложений. Подробное описание
Kurapica dotNET Tracer 1.1 - трейсер от известного автора инструментов для .net
ILSpy 1.0.0.481 - Opensource комбайн, на подобие SAE. Подробности тут
dotTrace Performance 4.0.665.4 - Неплохой трейсер для .Net приложений. Умеет делать трейсы не смешивая потоки как KDT. Умеет сравнивать трейсы двух запусков программы
Рег-данные:
Code:
  1. Name: exelab
  2. Serial: OLgDSHG0hJghkLdXYJh1IjM3ytMrqKcn

Universal Fixer 1.0 - fix dumps after dumping them whit Dotnet Dumper or other similiar tools and will also fix nasty things: multiple assembly/module definitions, wrong extends, etc.
iMPROVE .NET Deobfuscator - деобфускатор


ConfuserDumper
ConfuserDelegateKiller
CodeCrackerTools: ConfuserMethodsDecryptor, ConfuserDelegateKiller, ConfuserStringDecryptor, MegaDumper, etc.

Документация:
--> Microsoft <--
--> Metadata and File Format <--
--> CIL(опкоды с полным пояснениями) <--

Статьи с хабры:
Защита .NET приложений - Субъективная теоретическая муть с хабры, выдаваемая за обзор обфускаторов(только для фанатов)
Как обмануть NET.Reflector - вот это уже годная статья, в которой рассматривается ручная обфускация в стихах и картинках
Взлом программ для чайников - ну не знаю...прописные истины, но приятно, что все это есть на русском языке и нормально оформлено
Реверс-инжиниринг обфусцированной сборки .NET - один только заголовок чего стоит. По сути статья информативная
Инъекции MSIL кода в стороннюю сборку при помощи Mono.Cecil. Реализация принципов АОП в NET
Избавление .NET программы от регистрации на примере BEM
Снимаем дамп объектов с памяти .Net приложения

Другое:
.NET Reflector v7.0.0.198 (C# Source by wangshy)
String decryption with de4dot

Прошлый топик https://exelab.ru/f/index.php?action=vthread&forum=1&topic=16650&page=-1

-

Last edit: 2012-02-17, Links fixed. Jupiter

| Сообщение посчитали полезным: prorab777


Ранг: 299.1 (наставник)
Статус: Модератор
CrackLab

Создано: 4 марта 2018 19:33 New!
Цитата · Личное сообщение · #2

mazaxaker --> Link <--

Ранг: 76.5 (постоянный)
Статус: Участник

Создано: 4 марта 2018 20:50 New!
Цитата · Личное сообщение · #3

SReg, dotTacer пробовал, но он не логирует значения параметров и возвращаемые значения. Не знаешь какую-нибудь прогу, чтобы еще значения параметров выдавал.

Ранг: 299.1 (наставник)
Статус: Модератор
CrackLab

Создано: 4 марта 2018 21:45 New!
Цитата · Личное сообщение · #4

mazaxaker ну я не нашел, о чем там и написано. стало быть нету.
SReg пишет:
Да, это я все видел, но это не то что требуется. Хотелось бы видеть значения параметров до/после выполнения метода.

Ранг: 323.0 (мудрец)
Статус: Участник
ILSpector Team

Создано: 5 марта 2018 10:17 New!
Цитата · Личное сообщение · #5

Вы че пацаны товарищу "mazaxaker" мозг парите))). Чувак глядит на сборку через призму dnspy а он именно в utf-8 превращает нечитаемые имена.... еще раз: это dnspy так отбражает нечитаемые символы а не протектор так их наименовал.

Ранг: 76.5 (постоянный)
Статус: Участник

Создано: 5 марта 2018 19:51 New!
Цитата · Личное сообщение · #6

Medsft, а чем прогнать, чтобы utf символы названия методов, классов переименовал во что-то типа class1 и так далее. А то просто из-за этих \u0001 dnspy не хочет изменения компилить.

Ранг: 22.0 (новичок)
Статус: Участник

Создано: 6 марта 2018 08:12 New!
Цитата · Личное сообщение · #7

OMFG, так вы еще и через dnspy собираетесь патчить и перекомпилировать? А кто не обломался, тем еще предстоит...

Ранг: 323.0 (мудрец)
Статус: Участник
ILSpector Team

Создано: 6 марта 2018 15:44 New!
Цитата · Личное сообщение · #8

mazaxaker пишет:
а чем прогнать
тут вопрос гораздо серьезней.Опишу причины при которых нельзя применять переименование в сборке.
1. Новые имена объектов используются в механизме защиты сборки
2. Сборка использует для своего графического интерфейса механизмы xaml.
3. Обфускатор довольно крутой и смог сделать переименование паблик классов которые используются в других зависимых сборках.
Если эти 3 причины исключены то можно довольно смело переименовывать кучей имеющихся на паблике переименователей. (SAE, dedot, ILSpector, simple deobfuscator и т.д.). Другой вопрос позволит ли измененная метадата сохранить изменения, а это уже другая тема для разговоров.
mazaxaker пишет:
А то просто из-за этих \u0001 dnspy не хочет изменения компилить
Воот собственно и другая тема подоспела.Dnspy`ю полный пох на то как называются объекты сборки ему не пох на испорченную протектором метадату сборки.

Добавлено спустя 2 минуты
_MBK_ пишет:
через dnspy собираетесь патчить и перекомпилировать?
иногда можно если осторожно.

Ранг: 76.5 (постоянный)
Статус: Участник

Создано: 6 марта 2018 16:30 New!
Цитата · Личное сообщение · #9

Medsft, а как в dnspy перетаскивать указатель текущей инструкции в другой класс. У меня типа есть класс с методами, которые выполняются только когда устройство подключено к компу, а мне хочется просто перетащить указатель инструкции в те методы, но dnspy отказывается перетаскивать именно в другой класс. Не знаешь как это сделать ?

Ранг: 323.0 (мудрец)
Статус: Участник
ILSpector Team

Создано: 6 марта 2018 16:46 · Поправил: Medsft New!
Цитата · Личное сообщение · #10

mazaxaker пишет:
а как в dnspy перетаскивать указатель текущей инструкции в другой класс
никак по простому НО решение близко: найди место где сборка проверяет подключение к устройству и там пропачь вызов

Ранг: 70.9 (постоянный)
Статус: Участник

Создано: 6 марта 2018 18:33 New!
Цитата · Личное сообщение · #11

_MBK_ пишет:
OMFG, так вы еще и через dnspy собираетесь патчить и перекомпилировать? А кто не обломался, тем еще предстоит...

Да ладно, пух на себя накидывать..
dnspy отлично работает в hex..

Ранг: 76.5 (постоянный)
Статус: Участник

Создано: 6 марта 2018 21:05 New!
Цитата · Личное сообщение · #12

Medsft, еще не знаешь ли, прога использует xaml файлики для интерфейса, в чем бы их в виде картинок можно смотреть. Пробовал visual studio, но она как-то криво это делает. Нет ли по лучше проги. Основная цель просмотр интерфейса, нахождение интересных кнопок и потом поиск их обработчиков в коде по их id в xaml.

Ранг: 456.3 (мудрец)
Статус: Участник
Android Reverser

Создано: 7 марта 2018 06:34 New!
Цитата · Личное сообщение · #13

Парни, а есть генератор патчей для .NET? Типа как DUP, но чтоб дизасмил IL, чтоб более точно искал место патча (DUP дизасмит код, а не IL, а потому не подходит).


Ранг: 307.7 (мудрец)
Статус: Участник

Создано: 7 марта 2018 09:52 New!
Цитата · Личное сообщение · #14

Был когда-то whoknows NET Patcher (<- v0.7) - последняя версия v0.8c или v0.8v за 2015, только скачать его негде, кроме как у китайцев или арабов.

| Сообщение посчитали полезным: SaNX


Ранг: 323.0 (мудрец)
Статус: Участник
ILSpector Team

Создано: 7 марта 2018 11:02 New!
Цитата · Личное сообщение · #15

SaNX пишет:
Парни, а есть генератор патчей для .NET?
а по этому форуму поискать не судьба (см. мои посты :s8

Добавлено спустя 4 минуты
mazaxaker пишет:
еще не знаешь ли, прога использует xaml файлики для интерфейса,
я их изучаю в текстовом редакторе )) да и формы рисую тоже в текстовом редакторе.


Ранг: 656.5 (! !)
Статус: Участник
CyberMonk

Создано: 7 марта 2018 11:48 New!
Цитата · Личное сообщение · #16

.NET Patcher library using dnlib

dnpatch is the ultimate library for all your .NET patching needs. It offers automated assembly patching, signature scanning and last but but not least bypassing of obfuscators by its ability to find methods in renamed/obfuscated types. Since the stars on GitHub exploded in a few days, dnpatch has been extended by a couple of projects. The most important one is dnpatch.deobfuscation which integrates de4dot directly into dnpatch. Also there is dnpatch.script, which gives you the ability to write patchers with pure JSON! The library itself uses dnlib (see next part).

Code:
  1. https://github.com/ioncodes/dnpatch
  2. https://github.com/ioncodes/dnpatch.script
  3. https://github.com/ioncodes/Medusa


Добавлено спустя 33 минуты
mysterio пишет:
Был когда-то whoknows NET Patcher (<- v0.7) - последняя версия v0.8c или v0.8v за 2015, только скачать его негде, кроме как у китайцев или арабов.


wNP.v0.8v.patch.shield-whoknows --> Link <--

| Сообщение посчитали полезным: SaNX, mysterio, sefkrd


Ранг: 456.3 (мудрец)
Статус: Участник
Android Reverser

Создано: 7 марта 2018 15:00 New!
Цитата · Личное сообщение · #17

Medsft пишет:
а по этому форуму поискать не судьба (см. мои посты :s8

нашел только .NET patcher - но это совсем не то, что мне надо

Добавлено спустя 4 минуты
mysterio пишет:
Был когда-то whoknows NET Patcher (<- v0.7)

неплохо, но он без search&replace, вроде как (

Ранг: 510.2 (!)
Статус: Модератор

Создано: 8 марта 2018 16:10 New!
Цитата · Личное сообщение · #18

Коллеги, кто подскажет как в дот нет миксед моде сборке найти куда (адрес) ведет опкод calli (из дот нета в натив)?

Ранг: 70.9 (постоянный)
Статус: Участник

Создано: 8 марта 2018 17:58 New!
Цитата · Личное сообщение · #19

sendersu
Каким софтом изучаешь таргет?

Ранг: 510.2 (!)
Статус: Модератор

Создано: 9 марта 2018 10:29 New!
Цитата · Личное сообщение · #20

dnSpy вестимо...

Ранг: 70.9 (постоянный)
Статус: Участник

Создано: 15 марта 2018 23:22 · Поправил: sefkrd New!
Цитата · Личное сообщение · #21

Адреса не увидишь..
Можешь видеть вызываемый модуль с параметрами..
Обычно, ловлю ответ..
Если в теме с опкодами и мемори картой - проблем не составит..

Ранг: 323.0 (мудрец)
Статус: Участник
ILSpector Team

Создано: 16 марта 2018 09:35 New!
Цитата · Личное сообщение · #22

sendersu пишет:
Коллеги, кто подскажет как в дот нет миксед моде сборке найти куда (адрес) ведет опкод calli
\
sefkrd пишет:
Адреса не увидишь..


Даа господа.... легких путей не ищем, в ILSpectore поставить breakpoint посмотреть файлик который приготовил он для olly и в нем увидеть адрес ну так сложно.

| Сообщение посчитали полезным: mak


Ранг: 510.2 (!)
Статус: Модератор

Создано: 21 марта 2018 23:03 New!
Цитата · Личное сообщение · #23

Проблемка....
ILSpectore
64бит сборки никак?

Ранг: 4.9 (гость)
Статус: Участник

Создано: 27 марта 2018 13:55 New!
Цитата · Личное сообщение · #24

Товарищи помогите пожалуйста, уже кучу программ скачал и множество способов попробовал (2 xD потому что только 2 видео на ютубе по этому). Суть в чём: есть программка(чит) её запакавали Confuser Ex. Делаю всё вроде правильно,достаю длл koi проганяю через анти темпер затем проги unconfera tools (куча всяких) и в конце de4dot в итоге до конца не расшифровывается, что делать помогите 1 фото до дешифрвания, 2 после.

{ Атач доступен только для участников форума } - до дешифровки.jpg

Добавлено спустя 1 минуту
Вот это после unconfuser tools и de4dot

{ Атач доступен только для участников форума } - после дешифровки.jpg

Добавлено спустя 2 минуты
Если надо скину koi (которую достал из проги) или саму же прогу

Добавлено спустя 10 минут
прога которую надо деобфусцировать https://drive.google.com/open?id=1D3133IDcNVOBVwRwjJzuUwwulxjO9F7a

последовательность моих действий: удалил Module, достал koi, в koi удалил Module прогнал через Anti-tamper, затем unconfuser call fixer v2 затем string decr, switch killer и вот до конца не деобфусцируется

Ранг: 323.0 (мудрец)
Статус: Участник
ILSpector Team

Создано: 28 марта 2018 10:04 · Поправил: Medsft New!
Цитата · Личное сообщение · #25

kotanpukan пишет:
Товарищи помогите пожалуйста
что-то подустал я гуглом работать.
h__ps://github.com/wildcardc/cfxc-deobf

Ранг: 22.0 (новичок)
Статус: Участник

Создано: 28 марта 2018 13:44 New!
Цитата · Личное сообщение · #26

Извиняюсь, если туплю и вопрос тривиальный. Забиваю NOPами условный переход - получаю исключение Invalid program при входе в патченую процедуру. Ставлю в dnSpy бряк на это исключение, дабы понять что именно проверяет целостность кода - брякается, но на ту же самую строку - вызов процедуры.
ЧЯДНТ?

Ранг: 51.7 (постоянный)
Статус: Участник

Создано: 28 марта 2018 14:20 · Поправил: zds New!
Цитата · Личное сообщение · #27

_MBK_
а инструкции, которые загружают переменные\значения в стек для сравнения занопили?

для примера такой код
Code:
  1. int a = 1;
  2. if (> 0)
  3.   MessageBox.Show("True");

нопить надо все что выделено красным

Ранг: 4.9 (гость)
Статус: Участник

Создано: 28 марта 2018 16:01 New!
Цитата · Личное сообщение · #28

Medsft пишет:
Товарищи помогите пожалуйста что-то подустал я гуглом работать.
h__ps://github.com/wildcardc/cfxc-deobf


Скомпилировал, но прога не работает, крашится с ошибкой Необработанное исключение, ссылка на объект не указывает на экземпляр объекта

Добавлено спустя 31 минуту
используется ConfuserEx v1.0.0-17-g2046c23

Ранг: 22.0 (новичок)
Статус: Участник

Создано: 28 марта 2018 17:08 New!
Цитата · Личное сообщение · #29

Да нет вроде
Забил нопами
11 06 ldloc.s 6
2C A2 brfalse.s IL_0068

Ранг: 4.9 (гость)
Статус: Участник

Создано: 28 марта 2018 19:04 New!
Цитата · Личное сообщение · #30

насколько я понял у меня просто старый de4dot не дешифрует строчки strings, как можно сделать новый де4дот чтобы он поддерживал ConfuserEx v1.0.0-17-g2046c23

Ранг: 70.9 (постоянный)
Статус: Участник

Создано: 28 марта 2018 20:42 New!
Цитата · Личное сообщение · #31

kotanpukan
Читай исходники обоих и собирай свой dnlib..
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 14 . 15 . >>
 eXeL@B —› Основной форум —› Опять .net (part 2)

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS