eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 августа!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: yashechka, artyavmu (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Основной форум —› Опять .net (part 2)
<< 1 ... 9 . 10 . 11 . 12 . >>
Посл.ответ Сообщение


Ранг: 1986.7 (!!!!)
Статус: Модератор
retired

Создано: 12 сентября 2017 12:06 New!
Цитата · Личное сообщение · #1

Со времени создания топика много обсудили, во много м разобрались и много осталось за кадром. Решил подшить выкладываемый софт и линки

Инструменты:

dnSpy - бодрый декомпилятор и отладчик тут беты

Gray Wolf - DE-ObfuScatE / Edit IL(Live) / Add payloads / Edit attributes(public/privet) / Copy strong names signing on EXE/DLL
ReSharper 6.0 Build 2093 Pre-Release - Очень навороченый декомпилер, побробности --> ТУТ <--.
Рег-данные:
Code:
  1. User Name: ReSharper EAP User
  2. License Key: 0-A60kqsqDMPkvPrLC3bz1/jmns4/DAUV6
  3. which is valid until 31 March 2010

Reflector 8.3.3.115 - платный декомпилятор .NET 8.3.0.95 + (дополнение к нему)
Седьмая версия рефлектора - думаю все знают
Сборка Add-in'ов для Reflector - есть много полезных вещей
.Net ID 1.0.0.3 - определение защиты
DNiD by Rue - сигнатурный анализатор
Dotnet IL Editor (DILE)- Opensource дизассемблер и дебаггер
Xenocode Fox Code Analyzer- профайлер и дизассемблер
Reactor Decryptor 1.7 - что то декриптит, но что не понятно(с) zeppe1in
Simple Assembly Explor (SAE) - Assembler, Disassembler, Deobfuscator, IL editor and more...
DotNet Dumper 1.0 - Дампер .net'овских приложений. Подробное описание
Kurapica dotNET Tracer 1.1 - трейсер от известного автора инструментов для .net
ILSpy 1.0.0.481 - Opensource комбайн, на подобие SAE. Подробности тут
dotTrace Performance 4.0.665.4 - Неплохой трейсер для .Net приложений. Умеет делать трейсы не смешивая потоки как KDT. Умеет сравнивать трейсы двух запусков программы
Рег-данные:
Code:
  1. Name: exelab
  2. Serial: OLgDSHG0hJghkLdXYJh1IjM3ytMrqKcn

Universal Fixer 1.0 - fix dumps after dumping them whit Dotnet Dumper or other similiar tools and will also fix nasty things: multiple assembly/module definitions, wrong extends, etc.
iMPROVE .NET Deobfuscator - деобфускатор


ConfuserDumper
ConfuserDelegateKiller
CodeCrackerTools: ConfuserMethodsDecryptor, ConfuserDelegateKiller, ConfuserStringDecryptor, MegaDumper, etc.

Документация:
--> Microsoft <--
--> Metadata and File Format <--
--> CIL(опкоды с полным пояснениями) <--

Статьи с хабры:
Защита .NET приложений - Субъективная теоретическая муть с хабры, выдаваемая за обзор обфускаторов(только для фанатов)
Как обмануть NET.Reflector - вот это уже годная статья, в которой рассматривается ручная обфускация в стихах и картинках
Взлом программ для чайников - ну не знаю...прописные истины, но приятно, что все это есть на русском языке и нормально оформлено
Реверс-инжиниринг обфусцированной сборки .NET - один только заголовок чего стоит. По сути статья информативная
Инъекции MSIL кода в стороннюю сборку при помощи Mono.Cecil. Реализация принципов АОП в NET
Избавление .NET программы от регистрации на примере BEM
Снимаем дамп объектов с памяти .Net приложения

Другое:
.NET Reflector v7.0.0.198 (C# Source by wangshy)
String decryption with de4dot

Прошлый топик https://exelab.ru/f/index.php?action=vthread&forum=1&topic=16650&page=-1

-

Last edit: 2012-02-17, Links fixed. Jupiter

| Сообщение посчитали полезным: prorab777



Ранг: 748.2 (! !)
Статус: Участник
bytecode!

Создано: 14 сентября 2018 12:25 New!
Цитата · Личное сообщение · #2

f13nd пишет:
Ему надо конфиг каждый раз удалять, чтобы запускалось. И при использовании что-то там нажимать нельзя, тоже гарантированный вылет.

Там не было конфигов, с офсайта качается 1 файл в архиве, его и запускал.

Medsft пишет:
Ссылкой поможем h__ps://dropmefiles.com/vBMFi

Спасибо, распакованный работает норм, не крашится.


Ранг: 206.6 (наставник)
Статус: Участник

Создано: 14 сентября 2018 12:48 New!
Цитата · Личное сообщение · #3

4kusNick пишет:
Там не было конфигов, с офсайта качается 1 файл в архиве, его и запускал.

Скачанный с офсайта по ссылке в теме про ilspector один файл после запуска оставляет после себя ilspector.xml, из-за которого он крашится при втором и дальнейших запусках, если его не удалить.


Ранг: 748.2 (! !)
Статус: Участник
bytecode!

Создано: 15 сентября 2018 00:04 New!
Цитата · Личное сообщение · #4

f13nd пишет:
Скачанный с офсайта по ссылке в теме про ilspector один файл после запуска оставляет после себя ilspector.xml, из-за которого он крашится при втором и дальнейших запусках, если его не удалить.

Понятно, в моём случае первого запуска не было)

Ранг: 241.7 (наставник)
Статус: Участник

Создано: 1 октября 2018 10:57 · Поправил: TryAga1n New!
Цитата · Личное сообщение · #5

[del]

Ранг: 569.5 (!)
Статус: Модератор

Создано: 1 октября 2018 11:06 New!
Цитата · Личное сообщение · #6

TryAga1n
На паскале она будет точно такая же.
c / 16 - количество блоков по 16 единиц.
& 15 => %16 - остаток от деления на 16. Обычно используется для вычисления "хвоста".

| Сообщение посчитали полезным: TryAga1n


Ранг: 241.7 (наставник)
Статус: Участник

Создано: 1 октября 2018 11:07 New!
Цитата · Личное сообщение · #7

r_e, спасибо. тупанул просто)

Ранг: 456.3 (мудрец)
Статус: Участник
Android Reverser

Создано: 3 октября 2018 09:02 New!
Цитата · Личное сообщение · #8

Кто-нибудь знает, чем обфускано --> вот это <--?

Ранг: 508.6 (!)
Статус: Модератор

Создано: 3 октября 2018 13:24 New!
Цитата · Личное сообщение · #9

[module: ConfusedBy("ConfuserEx v1.0.0")]

или маскировка под него

| Сообщение посчитали полезным: SaNX


Ранг: 80.8 (постоянный)
Статус: Участник

Создано: 3 октября 2018 15:42 New!
Цитата · Личное сообщение · #10

SaNX
ConfuserEx + eazfuscator VM

Ранг: 456.3 (мудрец)
Статус: Участник
Android Reverser

Создано: 3 октября 2018 17:32 · Поправил: SaNX New!
Цитата · Личное сообщение · #11

Mishar_Hacker пишет:
ConfuserEx + eazfuscator VM

тулзы от CodeCracker не робят на нем, видимо, потому что 64 бита. Что делать?

Мне даже не надо, чтоб оно запускалось, просто все строки декриптнуть, чтоб посмотреть, что внутри происходит

Ранг: 34.0 (посетитель)
Статус: Участник

Создано: 14 октября 2018 16:27 New!
Цитата · Личное сообщение · #12

Помогите пжл восстановить длл после дампа https://cloud.mail.ru/public/AYew/WSznyBRfZ

Ранг: 118.0 (ветеран)
Статус: Участник

Создано: 14 октября 2018 17:07 New!
Цитата · Личное сообщение · #13

sss123
UniversalFixer попробуй

Ранг: 34.0 (посетитель)
Статус: Участник

Создано: 14 октября 2018 17:11 New!
Цитата · Личное сообщение · #14

Jaa
Пробовал не помогает.

Ранг: 118.0 (ветеран)
Статус: Участник

Создано: 14 октября 2018 17:49 · Поправил: Jaa New!
Цитата · Личное сообщение · #15

sss123
Тогда тебе нужно оставить свой запрос в Запросы на взлом программ или в Поиск специалистов и ждать отозвавшихся.


Ранг: 748.2 (! !)
Статус: Участник
bytecode!

Создано: 24 октября 2018 15:19 New!
Цитата · Личное сообщение · #16

de4dot mod by Tianjiao, partial fix MaxtoCode(3.80-3.87)

https://github.com/Tianjiao/de4dot/releases/download/v3.1.41592.3405/de4dot.zip

What's new:

Partial Fix latest MaxtoCode(3.87) (Tested on decrypt of string and resource)
Partial Fix some MaxtoCode versions (same as above)
Improved Logger.vv() Info for MaxtoCode

Features:

Decrypt string.
Decrypt resource.
Deobfuscate the control flow except those in the encrypted methods.

Note:

If you want to decrypt the encrypted methods, you can dump them, or modify the code of modded de4dot(Just one line).

You can use it first to decrypt the strings, then use a decompiler such as dnSpy, the strings can be shown then.
Or you can use a debugger to search for the strings. So in this way the purpose for RCE can be reached.

If the assembly protected by MaxtoCode cannot run, you could open it in PE Editor such as CFF Explorer, then go to ".NET Directory" - "Flags", Click here, then check the "32bit required" option, then save the assembly. (Credit 0xd4d again)

| Сообщение посчитали полезным: igorcauret, vitalik9


Ранг: 1.3 (гость)
Статус: Участник

Создано: 29 ноября 2018 16:59 · Поправил: Tianjiao New!
Цитата · Личное сообщение · #17

Спасибо!

Исходный код:
--> de4dot mod <--

| Сообщение посчитали полезным: igorcauret


Ранг: 3.3 (гость)
Статус: Участник

Создано: 14 декабря 2018 15:34 New!
Цитата · Личное сообщение · #18

Можно как то снять обфускатор Eazfuscator с проекта использующего xaml?
de4dot делает сборку не рабочей.
https://dropmefiles.com/hCEy3

Ранг: 9.0 (гость)
Статус: Участник

Создано: 14 декабря 2018 16:53 New!
Цитата · Личное сообщение · #19

asmex
de4dot --dont-rename

Ранг: 3.3 (гость)
Статус: Участник

Создано: 14 декабря 2018 17:12 New!
Цитата · Личное сообщение · #20

igorcauret пишет:
de4dot --dont-rename

Вся каша остается + сборка не работает.

Ранг: 70.7 (постоянный)
Статус: Участник

Создано: 14 декабря 2018 19:29 New!
Цитата · Личное сообщение · #21

asmex пишет:
Вся каша остается

Она и останется из-за опции --dont-rename
Пробуй опции -r -ro --dont-rename..
Каша останется, но велик процент запуска софта.

Ранг: 9.0 (гость)
Статус: Участник

Создано: 14 декабря 2018 20:24 New!
Цитата · Личное сообщение · #22

asmex пишет:
Вся каша остается + сборка не работает

Ну тогда неплохо остальные dll-ки выложить из папки с программой,или как тестировать предлагаете?

Ранг: 3.3 (гость)
Статус: Участник

Создано: 14 декабря 2018 20:41 New!
Цитата · Личное сообщение · #23

igorcauret пишет:
Ну тогда неплохо остальные dll-ки выложить из папки с программой,или как тестировать предлагаете?

--> Link <--

Ранг: 9.0 (гость)
Статус: Участник

Создано: 14 декабря 2018 21:04 New!
Цитата · Личное сообщение · #24

asmex пишет:
--> Link <--


igorcauret пишет:
de4dot --dont-rename

все работает,мозги людям парите https://prnt.sc/lv1hh3

Ранг: 80.8 (постоянный)
Статус: Участник

Создано: 15 декабря 2018 00:04 New!
Цитата · Личное сообщение · #25

asmex
Снимай обфус и посмотри логику как поймешь просто сделай патч в оригинальной версии и готово
Как то давно делал на такую вещь патч скажу так просто так ее не возьмешь

Ранг: 3.3 (гость)
Статус: Участник

Создано: 15 декабря 2018 14:38 · Поправил: asmex New!
Цитата · Личное сообщение · #26

igorcauret пишет:
все работает,мозги людям парите https://prnt.sc/lv1hh3

Теперь нажмите кнопку connect, об этом речь
http://prntscr.com/lv9zcf

Mishar_Hacker пишет:
Снимай обфус и посмотри логику как поймешь просто сделай патч в оригинальной версии и готово
Как то давно делал на такую вещь патч скажу так просто так ее не возьмешь

Так и делаю в принципе, решил спросить может кто подскажет другое направление подхода к таким вещам
Процесс логина там обойти не сложно, есть желание попробовать переписать некоторые функции, как с обфусцироваными функциями это сделать у меня идей нет

Ранг: 1.0 (гость)
Статус: Участник

Создано: 23 декабря 2018 22:28 · Поправил: Модератор New!
Цитата · Личное сообщение · #27

Здравствуйте!
Интересует как обфусцировать файл:

От модератора: UPX спасёт отца демократии!

Ранг: 79.4 (постоянный)
Статус: Участник

Создано: 26 декабря 2018 14:46 New!
Цитата · Личное сообщение · #28

asmex пишет:
Так и делаю в принципе, решил спросить может кто подскажет другое направление подхода к таким вещам

В этой проге проверка на целостность, насколько я понял
Попробуй поменять в hex редакторе какой-то ничего не значащий байт в конце ехе файла. Например в номере версии. И она уже не запустится...
И кажется именно в том месте после логина

Здесь только патчить в памяти, т.е. только лоадер...
Т.к. разбираться где там та проверка целостности гиблое дело
Тем более там еще куча дллк...

Ранг: 80.8 (постоянный)
Статус: Участник

Создано: 27 декабря 2018 14:12 New!
Цитата · Личное сообщение · #29

uncleua
Можно найти проверку целостности очень легко,
File.Open
File.OpenRead и все иже с ними на них ставим брекпоинт и запускаем программу
Готово
Извините если не прав

Ранг: 307.6 (мудрец)
Статус: Участник
ILSpector Team

Создано: 27 декабря 2018 16:04 · Поправил: Medsft New!
Цитата · Личное сообщение · #30

Mishar_Hacker пишет:
Можно найти проверку целостности очень легко

А что Вы думаете про данный способ?

Code:
  1. private void CheckCRCMethodBodys()
  2.         {
  3.             Assembly assembly = typeof(TestForm).Assembly;
  4.             foreach (MethodInfo methodInfo in assembly.ManifestModule.GetMethods())
  5.             {
  6. if (фильтр исключающий специальные имена и конструкторы)
  7. {
  8. continue;
  9. }
  10.                 int hash = methodInfo.GetMethodBody().GetHashCode();
  11.                 if (!methodInfo.Name.Contains(hash.ToString()))
  12.                 {
  13.                     Environment.FailFast("Обнаружено несанкционированное изменение кода программы");
  14.                 }
  15.             }
  16.         }


З.Ы. Естественно имена методов после обфускации должны содержать hash
Конструкторы тоже можно обиграть таблицей

Ранг: 80.8 (постоянный)
Статус: Участник

Создано: 27 декабря 2018 21:03 New!
Цитата · Личное сообщение · #31

Medsft
Я даже не открывал софт, это было мое предположение
<< 1 ... 9 . 10 . 11 . 12 . >>
 eXeL@B —› Основной форум —› Опять .net (part 2)

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS