eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 12 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: subzero (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› Распаковка .NET Reactor 4.8
Посл.ответ Сообщение

Ранг: 2.2 (гость)
Статус: Участник

Создано: 19 января 2015 22:49 New!
Цитата · Личное сообщение · #1

Здравствуйте. de4dot-3.1.41592 определяет файл как запакованный .NET Reactor 4.8, но при попытке деобфусцировать файл сталкиваюсь с ошибкой:

ERROR:
ERROR:
ERROR:
ERROR: Hmmmm... something didn't work. Try the latest version.

Версия de4dot последняя, собирал из исходников (гитхаб).

Информация:
PEiD - Microsoft Visual C# / Basic .NET
DiE - .NET Reactor(4.8-4.9)[-]

Я верно определил упаковщик .NET Reactor 4.8?
Подскажите пожалуйста тутор по распоковке.

--> Link <--


Ранг: 381.2 (мудрец)
Статус: Участник
_Вечный_Студент_

Создано: 19 января 2015 22:59 New!
Цитата · Личное сообщение · #2

Middle пишет:
Подскажите пожалуйста тутор по распоковке


может вот это: https://www.youtube.com/watch?v=UpYCg5G0h58 поможет?

Ранг: 2.2 (гость)
Статус: Участник

Создано: 19 января 2015 23:21 New!
Цитата · Личное сообщение · #3

plutos, пробовал. Не могу открыть ехе в olly. Сразу получаю ошибку "Unable to start file". Пробовал с помощью CFF Explorer удалить атрибут SupressIldasmAttribute, но все тщетно.
.NET Reflector 8.0 так же не может его открыть. Пишет ошибку "Индекс находится вне границ массива"

Ранг: 77.4 (постоянный)
Статус: Участник

Создано: 19 января 2015 23:56 New!
Цитата · Личное сообщение · #4

Вот деобфусцированный, но не запускается...

http://dfiles.ru/files/98snk7hxg

Ранг: 2.2 (гость)
Статус: Участник

Создано: 20 января 2015 00:45 New!
Цитата · Личное сообщение · #5

uncleua, а чем вы распаковывали?

Ранг: 77.4 (постоянный)
Статус: Участник

Создано: 20 января 2015 00:48 · Поправил: uncleua New!
Цитата · Личное сообщение · #6

Middle

de4dot-moded - http://dfiles.ru/files/3voaf0u93

| Сообщение посчитали полезным: Middle, djdram


Ранг: 2.2 (гость)
Статус: Участник

Создано: 20 января 2015 02:29 · Поправил: Middle New!
Цитата · Личное сообщение · #7

Файл деобфусцируется, MetaData RVA И MetaData Size - корректны. но при попытке запустить, приложение крашится.

Сигнатура проблемы:
Имя события проблемы: APPCRASH
Application Name: Net. Reactor 4.8.exe
Application Version: 2.23.5.0
Application Timestamp: 54b94393
Fault Module Name: KERNELBASE.dll
Fault Module Version: 6.1.7601.18229
Fault Module Timestamp: 51fb1677
Exception Code: e0434f4d
Exception Offset: 000000000000940d
Версия ОС: 6.1.7601.2.1.0.256.1
Код языка: 1049

Убрал с помощью CFF Explorer атрибут suppressildasmattribute , после этого при попытке запуска приложение так же крашится с ошибкой.

Мне кажется там версия 4.9, а это полная борода. На tuts4you не нашёл полезной информации. Подскажите пожалуйста, в каком направлении капать?

Ранг: 288.4 (наставник)
Статус: Участник

Создано: 20 января 2015 11:10 New!
Цитата · Личное сообщение · #8

Легкий тутор по новому reactory(уровень специалиста: руки не из жопы)
Разработчик поменял алгоритм создания ключей для AES шифрования ресурсов
и dedot при их расшифровки падает.
Для начала: открываем новый проект дедот идем в ...de4dot\de4dot.code\deobfuscators\dotNET_Reactor\v4\EncryptedResource.cs
метод: public byte[] Decrypt() и тут нам надо в функцию AESdecrypt подсунуть правильный ключ и вектор.
заводим новые переменные byte[32] и byte[16]. Курим. И думаем где же взять правильные ключи.
Dile нам не помощник не запустится... верней его допиливать надо такой есть только в привате
поступим по другому берем скажем DeObfuscatorWin32 (лишь бы умел переименовыватьи сохранять) сборка получиться нерабочая но нам и не надо. После переименования идем в <Module> cctor там дальше в первый и единственный метод, смотрим как генерируются ключи вот для этого места ICryptoTransform transform = Class115.Method46(symmetricAlgorithm, array4, array6); (в моем случае array4 (ключ) и array6(вектор)), пиздим в новый проект процедуру генерации (там маленькая сложность часть вектора берется из public key`я но это же не проблема). На выходе получаем правильные ключ и вектор. далее заносим их в наш измененный дедот и усе на этом. Надеюсь был полезен и Вы осилите дорогу.

| Сообщение посчитали полезным: Hellspawn, VodoleY, sapog93, GeorgeS, Middle, zds, 4kusNick, verdizela


Ранг: 1.0 (гость)
Статус: Участник

Создано: 3 февраля 2015 00:23 New!
Цитата · Личное сообщение · #9

Вот ссылочка --https://forum.tuts4you.com/topic/36587-crackmenet-reactor-modded/ будет плезно

Добавлено спустя 12 минут
Мож кто видео снимет как сделать то что описал --Medsft

Ранг: 1.0 (гость)
Статус: Участник

Создано: 15 марта 2015 22:00 New!
Цитата · Личное сообщение · #10

это нет реактор 4,9 вот используй этот - https://forum.tuts4you.com/index.php?app=core&module=attach&section=attach&attach_id=12586
 eXeL@B —› Протекторы —› Распаковка .NET Reactor 4.8

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS