ВИДЕОКУРС ВЗЛОМ
обновлён 2 декабря!

Со времени создания топика много обсудили, во много м разобрались и много осталось за кадром. Решил подшить выкладываемый софт и линки

Инструменты:

dnSpy - бодрый декомпилятор и отладчик тут беты

Gray Wolf - DE-ObfuScatE / Edit IL(Live) / Add payloads / Edit attributes(public/privet) / Copy strong names signing on EXE/DLL
ReSharper 6.0 Build 2093 Pre-Release - Очень навороченый декомпилер, побробности --> ТУТ <--.
Рег-данные:

Reflector 8.3.3.115 - платный декомпилятор .NET 8.3.0.95 + (дополнение к нему)
Седьмая версия рефлектора - думаю все знают
Сборка Add-in'ов для Reflector - есть много полезных вещей
.Net ID 1.0.0.3 - определение защиты
DNiD by Rue - сигнатурный анализатор
Dotnet IL Editor (DILE)- Opensource дизассемблер и дебаггер
Xenocode Fox Code Analyzer- профайлер и дизассемблер
Reactor Decryptor 1.7 - что то декриптит, но что не понятно(с) zeppe1in
Simple Assembly Explor (SAE) - Assembler, Disassembler, Deobfuscator, IL editor and more...
DotNet Dumper 1.0 - Дампер .net'овских приложений. Подробное описание
Kurapica dotNET Tracer 1.1 - трейсер от известного автора инструментов для .net
ILSpy 1.0.0.481 - Opensource комбайн, на подобие SAE. Подробности тут
dotTrace Performance 4.0.665.4 - Неплохой трейсер для .Net приложений. Умеет делать трейсы не смешивая потоки как KDT. Умеет сравнивать трейсы двух запусков программы
Рег-данные:

Universal Fixer 1.0 - fix dumps after dumping them whit Dotnet Dumper or other similiar tools and will also fix nasty things: multiple assembly/module definitions, wrong extends, etc.
iMPROVE .NET Deobfuscator - деобфускатор


ConfuserDumper
ConfuserDelegateKiller
CodeCrackerTools: ConfuserMethodsDecryptor, ConfuserDelegateKiller, ConfuserStringDecryptor, MegaDumper, etc.

Документация:
--> Microsoft <--
--> Metadata and File Format <--
--> CIL(опкоды с полным пояснениями) <--

Статьи с хабры:
Защита .NET приложений - Субъективная теоретическая муть с хабры, выдаваемая за обзор обфускаторов(только для фанатов)
Как обмануть NET.Reflector - вот это уже годная статья, в которой рассматривается ручная обфускация в стихах и картинках
Взлом программ для чайников - ну не знаю...прописные истины, но приятно, что все это есть на русском языке и нормально оформлено
Реверс-инжиниринг обфусцированной сборки .NET - один только заголовок чего стоит. По сути статья информативная
Инъекции MSIL кода в стороннюю сборку при помощи Mono.Cecil. Реализация принципов АОП в NET
Избавление .NET программы от регистрации на примере BEM
Снимаем дамп объектов с памяти .Net приложения

Другое:
.NET Reflector v7.0.0.198 (C# Source by wangshy)
String decryption with de4dot

Прошлый топик https://exelab.ru/f/index.php?action=vthread&forum=1&topic=16650&page=-1

-

Last edit: 2012-02-17, Links fixed. Jupiter

| Сообщение посчитали полезным: prorab777

не получается собрать de4dot для дешифровки строк ConfuserEx v1.0.0-17-g2046c23 помогите плз

Если мне не изменяет память, дедот и не поддерживал никогда СonfuserEx...

[assembly: ObfuscatedByAgileDotNet]
Просьба подскажите как узнать какой именно версией упакованно.
de4dot в dynamic не справляется, в статике просто переименовались функции.
Так же пробовал снять jit, всюду месага что нет там такого. Отсюда ощущение что накрыто чем-то другим и просто подставили данные сигнатуры. Хотя присутсвует :
namespace SecureTeam.Attributes
{
// Token: 0x02000080 RID: 128
public class ObfuscatedByAgileDotNetAttribute

{ Атач доступен только для участников форума } - AnalyseIt.Services.dll

sashka2002
По версии файла runtime можно определить версию Agile.NET.

Распакованный файл, если нужно
http://rgho.st/7tbZQdYGP

| Сообщение посчитали полезным: CyberGod, sashka2002

SHADOW785 можешь в личку отписать как распаковал?

can any one help me how to unpack this file.

i found this line in hex editor "ConfuserEx v1.0.0-17-g2046c23"
i am not able to load it in dnspy, de4dot, SAE, reflector....

http://www.mediafire.com/file/cg61ondf40m3wzl/anurag_4.rar

password "1!2@3#4$5%" (without quotes and without space)

подскажите пожалуйста,
какой должен быть XmlDocument, чтобы дал результат по этому поиску:
SelectSingleNode("//xref[ax='XXX']/ref1")

Какой-нибудь способ редактирования il2cpp кода уже придумали? Интересует возможность незначительного редактирования кода в ПК и Android играх на Unity.
Есть такое (тут ссылка была) https://github.com/Perfare/Il2CppDumper
Можно получить пустой шаблон DLL-ок, посмотреть названия функций. А как редактировать? С помощью IDA? Что именно туда загружать и в какой последовательности? )

Редактировать выхлоп IL2CPP - точно так же как другие C++ коды - IDA и т.д.
Дамперы из меты собирают dllки - это удобно для навигации - посмотреть какие есть классы и методы, и там же глянуть адреса чтобы примерно знать где искать нужный код в иде.
Но дамперы не особо помогают когда код обфусцирован - от кучи имен не несущих смысловую нагрузку толку мало, если только сидеть и разбирать что есть что и править в мете имена, оно редко того стоит.

| Сообщение посчитали полезным: Haoose-GP

4kusNick
Спасибо. Т.е. мета и DLL нужны чисто для удобства, править надо именно libil2cpp.so
HexRays не работает на таком коде? Для более удобного просмотра что же делается в требуемом месте кода.

Haoose-GP

Да, dll дампят просто для навигации.
Правда я уже пол-года где-то не касался темы, есть шанс что дамперы эволюционировали за это время и умеют больше (но в любом случае потом в so все изменения должны быть внесены).

Рейсы нормально работали когда я пробовал, это ведь обычные плюсы по сути.

Еще есть скрипт для иды который вгружает мету в ее дизасм:
https://github.com/nevermoe/unity_metadata_loader (видео с примером использования)

Зарелизился dnSpy новой мажорной версии - v5.x
линк - 1й в шапке.
не нашел инфо с ходу - подружил ли наконец автор свою утиль с ILSpy v3 (там новый мотор)

| Сообщение посчитали полезным: r_e

Ну вот что за люди? Мажорный релиз, а чейнджлога нет. Коммиты вообще не информативные.
Посмотрел по коммитам, всякие миноры пофиксили и либы обновили. Новых фич нет. (((

r_e пишет:
и либы обновили
Ога, теперь без NET Framework 4.7.1 не запустить )

r_e пишет:
Новых фич нет. (((
Новые фичи - новые баги

Пример Google Chrome заразителен =)

доброго времери суток, коллеги.
пишу девиртуализатор для последней версии ВМ CliSecure.
вм в принципе не сложна и по сигнатурам восстонавливается код в оригинал.
стоит вопрос в том на сколько ВМ уникальна для каждой сборки?
может у кого есть накрытые сборки . приложите плиз с самой либой машины.

kid пишет:
для последней версии ВМ CliSecure
Последняя, которая Agile.NET? Или последняя версия старого CliSecure?

Для старого есть --> ConfuserDeobfuscator <--, в котором всё довольно подробно разобрано (см. Deobfuscator.cs)

Jupiter пишет:
Последняя, которая Agile.NET?
она самая.

kid пишет:
пишу девиртуализатор для последней версии ВМ CliSecure мутации нет.
Ты б лучше новый дефлоу написал если такой крутой) девиртуализатор!)

Medsft пишет:
Ты б лучше новый дефлоу написал если такой крутой) девиртуализатор!)
ну чего ж так сразу то.
вполне посильная задача.
все оригинальные опкоды легко выявляются по сигнатруам( в моем случае).
вот решил спросить где еще такая ВМ. прокатят ли эти сигнатуры

kid пишет:
ну чего ж так сразу то а что к CeX написал бы дефлоу (а то эти свичи поднадоели).

Добавлено спустя 7 минут
Medsft пишет:
пишу девиртуализатор для последней версии ВМ виртуализация для NET мертворожденный ребенок, исключая случаи ее применения для "особо" нересурсоемких программ.

Месяц назад обновился Reflector v10.0.5.484.

| Сообщение посчитали полезным: ajax, VOLKOFF

Подскажите, пожалуйста
Есть ЕХЕшка, пропущенная через Eazfuscator 5+.
В ней есть маленькая неприятная пакость от разрабов, представляющая собой анонимный метод, в котором хотелось бы заменить одну инструкцию. Дергается он не напрямую, а через их виртуализацию, так что понять условие вызова низя. Да и из-за сраной виртуализации подправить IL рефлексилом\dnSpy не выходит, т.к. при сохранении PE получается другим.

Есть какая-то простая возможность пропатчить IL или тут только поможет дизассемблер?
Update:
Сам спросил - сам ответил)
Не знал что в иде появилась поддержка дотнета. Нашел адрес инструкцию из вьюшки и поправил в хекс-редакторе.

unrefraction
Есть еще интересная тулза ByteMe, как раз для таких целей, ни раз выручала. Попробуй может зайдет, думаю найти на форуме или в интернете не составит труда.

Обновился Reflector v10.0.6.546

| Сообщение посчитали полезным: VOLKOFF

Приветствую...
м.б. кто подскажет..? прога накрыта кастомным confuserex с защитой ресурсов. при запуске декрипт ресурса (модуль "хрен-пойми-чё.dll") и дальнейшая работа. После обработки ехе-шника получаю читабельный код, но получаю эксепшн MissingManifestResourceException на InitializeComponent(), так как в обработанном ехе ресурсы не декриптованы, но имеют нормальное именование. В модуле "хрен-пойми-чё.dll" с содержимым все ОК, но имена - "хрен-пойми-чё.resources"
Не пинайте сильно плизз, опыта мало...
З.Ы.
Mishar_Hacker, ты имел дело с этим кастомом конфузерэкса (+/- билд) по просьбе ajax`a в феврале 2016го...
Некторые нужные классы остались подпорчены, но все равно большое спасибо!

[del]

TryAga1n пишет:
flag19 = ... != ...;
Наверное TRUE/FALSE в зависимости от равенства? Если остаток от деления на 10 разницы между array[4] и array[9] не равен array[21], то тру, иначе не тру.

Привет! Подскажите пожалуйста, чем обработана утилита.

http://rgho.st/private/6smMtQqDS/cf6bd083a674aeeb9bebfca4529ca159