eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 августа!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: Alf (+2 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Основной форум —› Опять .net (part 2)
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 11 . 12 . >>
Посл.ответ Сообщение


Ранг: 1986.5 (!!!!)
Статус: Модератор
retired

Создано: 12 сентября 2017 12:06 New!
Цитата · Личное сообщение · #1

Со времени создания топика много обсудили, во много м разобрались и много осталось за кадром. Решил подшить выкладываемый софт и линки

Инструменты:

dnSpy - бодрый декомпилятор и отладчик тут беты

Gray Wolf - DE-ObfuScatE / Edit IL(Live) / Add payloads / Edit attributes(public/privet) / Copy strong names signing on EXE/DLL
ReSharper 6.0 Build 2093 Pre-Release - Очень навороченый декомпилер, побробности --> ТУТ <--.
Рег-данные:
Code:
  1. User Name: ReSharper EAP User
  2. License Key: 0-A60kqsqDMPkvPrLC3bz1/jmns4/DAUV6
  3. which is valid until 31 March 2010

Reflector 8.3.3.115 - платный декомпилятор .NET 8.3.0.95 + (дополнение к нему)
Седьмая версия рефлектора - думаю все знают
Сборка Add-in'ов для Reflector - есть много полезных вещей
.Net ID 1.0.0.3 - определение защиты
DNiD by Rue - сигнатурный анализатор
Dotnet IL Editor (DILE)- Opensource дизассемблер и дебаггер
Xenocode Fox Code Analyzer- профайлер и дизассемблер
Reactor Decryptor 1.7 - что то декриптит, но что не понятно(с) zeppe1in
Simple Assembly Explor (SAE) - Assembler, Disassembler, Deobfuscator, IL editor and more...
DotNet Dumper 1.0 - Дампер .net'овских приложений. Подробное описание
Kurapica dotNET Tracer 1.1 - трейсер от известного автора инструментов для .net
ILSpy 1.0.0.481 - Opensource комбайн, на подобие SAE. Подробности тут
dotTrace Performance 4.0.665.4 - Неплохой трейсер для .Net приложений. Умеет делать трейсы не смешивая потоки как KDT. Умеет сравнивать трейсы двух запусков программы
Рег-данные:
Code:
  1. Name: exelab
  2. Serial: OLgDSHG0hJghkLdXYJh1IjM3ytMrqKcn

Universal Fixer 1.0 - fix dumps after dumping them whit Dotnet Dumper or other similiar tools and will also fix nasty things: multiple assembly/module definitions, wrong extends, etc.
iMPROVE .NET Deobfuscator - деобфускатор


ConfuserDumper
ConfuserDelegateKiller
CodeCrackerTools: ConfuserMethodsDecryptor, ConfuserDelegateKiller, ConfuserStringDecryptor, MegaDumper, etc.

Документация:
--> Microsoft <--
--> Metadata and File Format <--
--> CIL(опкоды с полным пояснениями) <--

Статьи с хабры:
Защита .NET приложений - Субъективная теоретическая муть с хабры, выдаваемая за обзор обфускаторов(только для фанатов)
Как обмануть NET.Reflector - вот это уже годная статья, в которой рассматривается ручная обфускация в стихах и картинках
Взлом программ для чайников - ну не знаю...прописные истины, но приятно, что все это есть на русском языке и нормально оформлено
Реверс-инжиниринг обфусцированной сборки .NET - один только заголовок чего стоит. По сути статья информативная
Инъекции MSIL кода в стороннюю сборку при помощи Mono.Cecil. Реализация принципов АОП в NET
Избавление .NET программы от регистрации на примере BEM
Снимаем дамп объектов с памяти .Net приложения

Другое:
.NET Reflector v7.0.0.198 (C# Source by wangshy)
String decryption with de4dot

Прошлый топик https://exelab.ru/f/index.php?action=vthread&forum=1&topic=16650&page=-1

-

Last edit: 2012-02-17, Links fixed. Jupiter

| Сообщение посчитали полезным: prorab777


Ранг: 4.9 (гость)
Статус: Участник

Создано: 29 марта 2018 12:41 New!
Цитата · Личное сообщение · #2

не получается собрать de4dot для дешифровки строк ConfuserEx v1.0.0-17-g2046c23 помогите плз

Ранг: 508.6 (!)
Статус: Модератор

Создано: 29 марта 2018 16:53 New!
Цитата · Личное сообщение · #3

Если мне не изменяет память, дедот и не поддерживал никогда СonfuserEx...

Ранг: 10.7 (новичок)
Статус: Участник

Создано: 6 апреля 2018 22:16 New!
Цитата · Личное сообщение · #4

[assembly: ObfuscatedByAgileDotNet]
Просьба подскажите как узнать какой именно версией упакованно.
de4dot в dynamic не справляется, в статике просто переименовались функции.
Так же пробовал снять jit, всюду месага что нет там такого. Отсюда ощущение что накрыто чем-то другим и просто подставили данные сигнатуры. Хотя присутсвует :
namespace SecureTeam.Attributes
{
// Token: 0x02000080 RID: 128
public class ObfuscatedByAgileDotNetAttribute

{ Атач доступен только для участников форума } - AnalyseIt.Services.dll

Ранг: 24.3 (новичок)
Статус: Участник

Создано: 8 апреля 2018 11:00 New!
Цитата · Личное сообщение · #5

sashka2002
По версии файла runtime можно определить версию Agile.NET.

Распакованный файл, если нужно
http://rgho.st/7tbZQdYGP

| Сообщение посчитали полезным: CyberGod, sashka2002


Ранг: 10.7 (новичок)
Статус: Участник

Создано: 8 апреля 2018 12:38 New!
Цитата · Личное сообщение · #6

SHADOW785 можешь в личку отписать как распаковал?

Ранг: 1.0 (гость)
Статус: Участник

Создано: 12 апреля 2018 08:47 · Поправил: ranadharm New!
Цитата · Личное сообщение · #7

can any one help me how to unpack this file.

i found this line in hex editor "ConfuserEx v1.0.0-17-g2046c23"
i am not able to load it in dnspy, de4dot, SAE, reflector....

http://www.mediafire.com/file/cg61ondf40m3wzl/anurag_4.rar

password "1!2@3#4$5%" (without quotes and without space)

Ранг: 42.9 (посетитель)
Статус: Участник

Создано: 19 апреля 2018 23:46 New!
Цитата · Личное сообщение · #8

подскажите пожалуйста,
какой должен быть XmlDocument, чтобы дал результат по этому поиску:
SelectSingleNode("//xref[ax='XXX']/ref1")


Ранг: 61.3 (постоянный)
Статус: Участник

Создано: 20 апреля 2018 00:10 New!
Цитата · Личное сообщение · #9

Какой-нибудь способ редактирования il2cpp кода уже придумали? Интересует возможность незначительного редактирования кода в ПК и Android играх на Unity.
Есть такое (тут ссылка была) https://github.com/Perfare/Il2CppDumper
Можно получить пустой шаблон DLL-ок, посмотреть названия функций. А как редактировать? С помощью IDA? Что именно туда загружать и в какой последовательности? )


Ранг: 748.2 (! !)
Статус: Участник
bytecode!

Создано: 20 апреля 2018 09:42 New!
Цитата · Личное сообщение · #10

Редактировать выхлоп IL2CPP - точно так же как другие C++ коды - IDA и т.д.
Дамперы из меты собирают dllки - это удобно для навигации - посмотреть какие есть классы и методы, и там же глянуть адреса чтобы примерно знать где искать нужный код в иде.
Но дамперы не особо помогают когда код обфусцирован - от кучи имен не несущих смысловую нагрузку толку мало, если только сидеть и разбирать что есть что и править в мете имена, оно редко того стоит.

| Сообщение посчитали полезным: Haoose-GP



Ранг: 61.3 (постоянный)
Статус: Участник

Создано: 20 апреля 2018 19:44 New!
Цитата · Личное сообщение · #11

4kusNick
Спасибо. Т.е. мета и DLL нужны чисто для удобства, править надо именно libil2cpp.so
HexRays не работает на таком коде? Для более удобного просмотра что же делается в требуемом месте кода.


Ранг: 748.2 (! !)
Статус: Участник
bytecode!

Создано: 21 апреля 2018 01:30 · Поправил: 4kusNick New!
Цитата · Личное сообщение · #12

Haoose-GP

Да, dll дампят просто для навигации.
Правда я уже пол-года где-то не касался темы, есть шанс что дамперы эволюционировали за это время и умеют больше (но в любом случае потом в so все изменения должны быть внесены).

Рейсы нормально работали когда я пробовал, это ведь обычные плюсы по сути.

Еще есть скрипт для иды который вгружает мету в ее дизасм:
https://github.com/nevermoe/unity_metadata_loader (видео с примером использования)

Ранг: 508.6 (!)
Статус: Модератор

Создано: 29 апреля 2018 10:33 New!
Цитата · Личное сообщение · #13

Зарелизился dnSpy новой мажорной версии - v5.x
линк - 1й в шапке.
не нашел инфо с ходу - подружил ли наконец автор свою утиль с ILSpy v3 (там новый мотор)

| Сообщение посчитали полезным: r_e


Ранг: 568.5 (!)
Статус: Модератор

Создано: 29 апреля 2018 20:46 New!
Цитата · Личное сообщение · #14

Ну вот что за люди? Мажорный релиз, а чейнджлога нет. Коммиты вообще не информативные.
Посмотрел по коммитам, всякие миноры пофиксили и либы обновили. Новых фич нет. (((

Ранг: 125.4 (ветеран)
Статус: Участник

Создано: 29 апреля 2018 21:21 New!
Цитата · Личное сообщение · #15

r_e пишет:
и либы обновили

Ога, теперь без NET Framework 4.7.1 не запустить )

Ранг: 118.0 (ветеран)
Статус: Участник

Создано: 29 апреля 2018 22:40 New!
Цитата · Личное сообщение · #16

r_e пишет:
Новых фич нет. (((

Новые фичи - новые баги


Ранг: 748.2 (! !)
Статус: Участник
bytecode!

Создано: 29 апреля 2018 23:45 New!
Цитата · Личное сообщение · #17

Пример Google Chrome заразителен =)

Ранг: 42.2 (посетитель)
Статус: Участник

Создано: 30 апреля 2018 23:27 New!
Цитата · Личное сообщение · #18

доброго времери суток, коллеги.
пишу девиртуализатор для последней версии ВМ CliSecure.
вм в принципе не сложна и по сигнатурам восстонавливается код в оригинал.
стоит вопрос в том на сколько ВМ уникальна для каждой сборки?
может у кого есть накрытые сборки . приложите плиз с самой либой машины.


Ранг: 582.6 (!)
Статус: Модератор
Research & Development

Создано: 1 мая 2018 02:25 New!
Цитата · Личное сообщение · #19

kid пишет:
для последней версии ВМ CliSecure

Последняя, которая Agile.NET? Или последняя версия старого CliSecure?

Для старого есть --> ConfuserDeobfuscator <--, в котором всё довольно подробно разобрано (см. Deobfuscator.cs)

Ранг: 42.2 (посетитель)
Статус: Участник

Создано: 1 мая 2018 13:50 New!
Цитата · Личное сообщение · #20

Jupiter пишет:
Последняя, которая Agile.NET?

она самая.

Ранг: 307.6 (мудрец)
Статус: Участник
ILSpector Team

Создано: 3 мая 2018 08:20 New!
Цитата · Личное сообщение · #21

kid пишет:
пишу девиртуализатор для последней версии ВМ CliSecure
мутации нет.
Ты б лучше новый дефлоу написал если такой крутой) девиртуализатор!)

Ранг: 42.2 (посетитель)
Статус: Участник

Создано: 3 мая 2018 22:39 New!
Цитата · Личное сообщение · #22

Medsft пишет:
Ты б лучше новый дефлоу написал если такой крутой) девиртуализатор!)

ну чего ж так сразу то.
вполне посильная задача.
все оригинальные опкоды легко выявляются по сигнатруам( в моем случае).
вот решил спросить где еще такая ВМ. прокатят ли эти сигнатуры

Ранг: 307.6 (мудрец)
Статус: Участник
ILSpector Team

Создано: 4 мая 2018 07:47 New!
Цитата · Личное сообщение · #23

kid пишет:
ну чего ж так сразу то
а что к CeX написал бы дефлоу (а то эти свичи поднадоели).

Добавлено спустя 7 минут
Medsft пишет:
пишу девиртуализатор для последней версии ВМ
виртуализация для NET мертворожденный ребенок, исключая случаи ее применения для "особо" нересурсоемких программ.


Ранг: 307.7 (мудрец)
Статус: Участник

Создано: 13 мая 2018 09:09 New!
Цитата · Личное сообщение · #24

Месяц назад обновился Reflector v10.0.5.484.

| Сообщение посчитали полезным: ajax, VOLKOFF


Ранг: 1.2 (гость)
Статус: Участник

Создано: 15 мая 2018 00:27 · Поправил: unrefraction New!
Цитата · Личное сообщение · #25

Подскажите, пожалуйста
Есть ЕХЕшка, пропущенная через Eazfuscator 5+.
В ней есть маленькая неприятная пакость от разрабов, представляющая собой анонимный метод, в котором хотелось бы заменить одну инструкцию. Дергается он не напрямую, а через их виртуализацию, так что понять условие вызова низя. Да и из-за сраной виртуализации подправить IL рефлексилом\dnSpy не выходит, т.к. при сохранении PE получается другим.

Есть какая-то простая возможность пропатчить IL или тут только поможет дизассемблер?
Update:
Сам спросил - сам ответил)
Не знал что в иде появилась поддержка дотнета. Нашел адрес инструкцию из вьюшки и поправил в хекс-редакторе.

Ранг: 118.0 (ветеран)
Статус: Участник

Создано: 17 мая 2018 21:02 New!
Цитата · Личное сообщение · #26

unrefraction
Есть еще интересная тулза ByteMe, как раз для таких целей, ни раз выручала. Попробуй может зайдет, думаю найти на форуме или в интернете не составит труда.


Ранг: 307.7 (мудрец)
Статус: Участник

Создано: 25 мая 2018 15:51 · Поправил: mysterio New!
Цитата · Личное сообщение · #27

Обновился Reflector v10.0.6.546

| Сообщение посчитали полезным: VOLKOFF


Ранг: 146.7 (ветеран)
Статус: Участник

Создано: 27 июня 2018 15:58 New!
Цитата · Личное сообщение · #28

Приветствую...
м.б. кто подскажет..? прога накрыта кастомным confuserex с защитой ресурсов. при запуске декрипт ресурса (модуль "хрен-пойми-чё.dll") и дальнейшая работа. После обработки ехе-шника получаю читабельный код, но получаю эксепшн MissingManifestResourceException на InitializeComponent(), так как в обработанном ехе ресурсы не декриптованы, но имеют нормальное именование. В модуле "хрен-пойми-чё.dll" с содержимым все ОК, но имена - "хрен-пойми-чё.resources"
Не пинайте сильно плизз, опыта мало...
З.Ы.
Mishar_Hacker, ты имел дело с этим кастомом конфузерэкса (+/- билд) по просьбе ajax`a в феврале 2016го...
Некторые нужные классы остались подпорчены, но все равно большое спасибо!

Ранг: 241.5 (наставник)
Статус: Участник

Создано: 10 июля 2018 14:38 · Поправил: TryAga1n New!
Цитата · Личное сообщение · #29

[del]


Ранг: 206.4 (наставник)
Статус: Участник

Создано: 10 июля 2018 14:47 · Поправил: f13nd New!
Цитата · Личное сообщение · #30

TryAga1n пишет:
flag19 = ... != ...;

Наверное TRUE/FALSE в зависимости от равенства? Если остаток от деления на 10 разницы между array[4] и array[9] не равен array[21], то тру, иначе не тру.

Ранг: 15.7 (новичок)
Статус: Участник

Создано: 19 июля 2018 03:58 New!
Цитата · Личное сообщение · #31

Привет! Подскажите пожалуйста, чем обработана утилита.

http://rgho.st/private/6smMtQqDS/cf6bd083a674aeeb9bebfca4529ca159
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 11 . 12 . >>
 eXeL@B —› Основной форум —› Опять .net (part 2)

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS