eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
обновлён 2 декабря!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме:
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Крэки, обсуждения —› .Net многослойный пакер
Посл.ответ Сообщение

Ранг: 92.3 (постоянный)
Статус: Участник

Создано: 1 февраля 2014 12:52 New!
Цитата · Личное сообщение · #1

Всем привет!
Попалась под ножик программа. Написана на .Net
На ней висят Реактор (native method), какой то дохлый пакер и Енигма. (я не понимаю как это может пахать)

Енигму убрал, пакер тоже. Вытащил .Net сборку, прогнал чере универсал фиксер, не запускается.
Окей, пошёл колупать первое -
Через жопу и CFF редактор смог сделать что бы в рефлекторе открывало.
Второе -
Code:
  1.          IL_0000: br.s IL_000a
  2.          IL_0002: call
  3.          IL_0007: ldnull
  4.          IL_0008: ldind.ref
  5.          IL_0009: pop
  6.  


Вот такой набор инструкций почти в каждом методе. (кстати, рефлектор это не смог прочитать только ILSpy)

Причём ILSly не видет главный класс. О_О А рефлектор видет НО не может обработать выше указанные инструкции.

Вопрос таков это что за монстр? Наврядли реактор смог такое сделать.
И есть ли программы для отлова ошибок .Net сборок ? А то я так не мог понять где падает программа.

Ранг: 34.1 (посетитель)
Статус: Участник

Создано: 1 февраля 2014 13:31 · Поправил: nick8606 New!
Цитата · Личное сообщение · #2

vovanre пишет:
Вопрос таков это что за монстр?


На дотфускатор похоже. Деобфускатор SAE такое снимает. Принцип-то простой: с первой инструкции прыгаем на указанную и выполняем код дальше. Рефлектор пытается декомпилировать и мусор, потому что ему без разницы, что там такое написано, и благополучно умирает.

vovanre пишет:
И есть ли программы для отлова ошибок .Net сборок ?


DILE

| Сообщение посчитали полезным: vovanre


Ранг: 323.6 (мудрец)
Статус: Участник
ILSpector Team

Создано: 1 февраля 2014 14:54 · Поправил: Medsft New!
Цитата · Личное сообщение · #3

возьми мой Net patcher и опция removebadcode тебе в руки)
А сборку вытащи megadumper'om

| Сообщение посчитали полезным: vovanre


Ранг: 92.3 (постоянный)
Статус: Участник

Создано: 1 февраля 2014 15:04 · Поправил: vovanre New!
Цитата · Личное сообщение · #4

Medsft пишет:

возьми мой Net patcher и опция removebadcode тебе в руки)
А сборку вытащи megadumper'om

Мега дампер вытаскивает что то вообще не вообразимое, которое нигде не открывается ._.



nick8606 пишет:
DILE

Спасибо.
UPD
Увы .Net Parcher не осилил, здох при сохранении =(

UPD 2
Фух, убрал спасибо, теперь пошёл колупать где ошибка

Ранг: 323.6 (мудрец)
Статус: Участник
ILSpector Team

Создано: 1 февраля 2014 15:10 New!
Цитата · Личное сообщение · #5

Megadumper все отлично вытаскивает. только энигму сначала сними. А то что ты показал обычный бадкод.

Ранг: 323.6 (мудрец)
Статус: Участник
ILSpector Team

Создано: 1 февраля 2014 15:12 · Поправил: Medsft New!
Цитата · Личное сообщение · #6

реактор то сначала сними ) dedotom

Ранг: 92.3 (постоянный)
Статус: Участник

Создано: 1 февраля 2014 15:25 New!
Цитата · Личное сообщение · #7

Енигма снят, какойто-пакер-похожий-на-упх тоже снят, там ещё были плюшки против dedot'a .
Ядерная смесь попалась. Спасибо за помошь!

Ранг: 323.6 (мудрец)
Статус: Участник
ILSpector Team

Создано: 1 февраля 2014 15:27 New!
Цитата · Личное сообщение · #8

net patcher не мог упасть там бинарный способ делаешь чтото неправильно

Ранг: 92.3 (постоянный)
Статус: Участник

Создано: 1 февраля 2014 15:28 · Поправил: vovanre New!
Цитата · Личное сообщение · #9


Хм, или у меня бзик или импорт побился =\

В импорте mscoree.dll => _CorExeMain

Ранг: 323.6 (мудрец)
Статус: Участник
ILSpector Team

Создано: 1 февраля 2014 15:29 New!
Цитата · Личное сообщение · #10

сборку после снятия протекторов пофикси universal fixerom прежде чем ошибку искать

Ранг: 323.6 (мудрец)
Статус: Участник
ILSpector Team

Создано: 1 февраля 2014 15:31 New!
Цитата · Личное сообщение · #11

а что тебе на скрине не нравится отладчик просит подгрузить библы и все резреши ему.А ошибки искать надо профайлером диле сам состоит из моря ошибок. Найди мою сборку она постабильней

Ранг: 92.3 (постоянный)
Статус: Участник

Создано: 1 февраля 2014 15:35 New!
Цитата · Личное сообщение · #12

Exception occurred while loading the assembly: System.NotImplementedException: Unknown assembly flag value.

Кхм

Ранг: 323.6 (мудрец)
Статус: Участник
ILSpector Team

Создано: 1 февраля 2014 15:37 · Поправил: Medsft New!
Цитата · Личное сообщение · #13

))))) стандартная ошибка диле... не знает че послать ядру . флаги сборки не все в структурах описаны.
не мучься снимай каждый протектор по очереди и проверяй на запуск

Ранг: 92.3 (постоянный)
Статус: Участник

Создано: 1 февраля 2014 15:43 New!
Цитата · Личное сообщение · #14

Лучше ссылку , картинка большая. --> Link <--

Щитото не знаком с такой ошибкой.

Ранг: 92.3 (постоянный)
Статус: Участник

Создано: 1 февраля 2014 15:59 New!
Цитата · Личное сообщение · #15

Решил пересобрать (ildasm<=>ilasm) что бы отпали вопросы о корректности сборки.

Ранг: 323.6 (мудрец)
Статус: Участник
ILSpector Team

Создано: 1 февраля 2014 16:23 New!
Цитата · Личное сообщение · #16

))))) ты жжешь))))

Ранг: 92.3 (постоянный)
Статус: Участник

Создано: 1 февраля 2014 16:24 New!
Цитата · Личное сообщение · #17

Увы, я .Net я не работал =(

Ранг: 323.6 (мудрец)
Статус: Участник
ILSpector Team

Создано: 1 февраля 2014 16:41 New!
Цитата · Личное сообщение · #18

снимай защиту поочередно и на каком этапе перестанет работать пиши 1 пакер работает дальше 2 пакер работает дальше и вот когда перестанет работать напишешь


Ранг: 334.1 (мудрец)
Статус: Участник
born to be evil

Создано: 1 февраля 2014 16:43 New!
Цитата · Личное сообщение · #19

Medsft
dile в твоей сборке - супер. как-то пользовался, шустрый. оригинал думал над каждой коммандой, хитрая процедурка была

Ранг: 323.6 (мудрец)
Статус: Участник
ILSpector Team

Создано: 1 февраля 2014 16:49 New!
Цитата · Личное сообщение · #20

Спасибо ajax.

Ранг: 92.3 (постоянный)
Статус: Участник

Создано: 1 февраля 2014 16:51 · Поправил: vovanre New!
Цитата · Личное сообщение · #21

Кхм, если не секрет, а где Енигма ключи хранит?
Хочу ключик убрать

Ранг: 323.6 (мудрец)
Статус: Участник
ILSpector Team

Создано: 1 февраля 2014 16:52 New!
Цитата · Личное сообщение · #22

Аа вот и суть начинает появляться)))

Ранг: 92.3 (постоянный)
Статус: Участник

Создано: 1 февраля 2014 16:57 New!
Цитата · Личное сообщение · #23

Ладно Ладно, нашёл уже, просто лень было мониторить

Ранг: 323.6 (мудрец)
Статус: Участник
ILSpector Team

Создано: 1 февраля 2014 17:24 New!
Цитата · Личное сообщение · #24

Работает без энигмы? Идем дальше?

Ранг: 92.3 (постоянный)
Статус: Участник

Создано: 1 февраля 2014 18:40 New!
Цитата · Личное сообщение · #25

Фух, странно, но у приложения кусок кода был на другой странице, приложение теперь пашет, спасибо!

Теперь его можно спокойно ковырять.


А DILE может скрыватсья от IsDebugPresent ?

Ранг: 323.6 (мудрец)
Статус: Участник
ILSpector Team

Создано: 1 февраля 2014 19:19 New!
Цитата · Личное сообщение · #26

Молодец! Не может... Но найтй как два пальца .... в sae находишь в поиске isdebugpresent запоминаешь в каком методе происходит вызов в net patchere делаешь реверс бранч сохранаешь и все тебе ок

Ранг: 323.6 (мудрец)
Статус: Участник
ILSpector Team

Создано: 1 февраля 2014 19:24 New!
Цитата · Личное сообщение · #27

И вообще тебе повезло что джит не используется сборка по любому после каждого этапа снятия пакеров должна работать


Ранг: 1997.6 (!!!!)
Статус: Модератор
retired

Создано: 1 февраля 2014 20:46 New!
Цитата · Личное сообщение · #28

Medsft
Пользуйся кнопкой "Правка", не создавай сообщения подряд. Пора уже было освоить, с таким рангом-то.

Ранг: 92.3 (постоянный)
Статус: Участник

Создано: 2 февраля 2014 00:23 New!
Цитата · Личное сообщение · #29

Но всё же есть один вопрос. Что за ошибка
Code:
  1. Exception classes:   
  2.    System.BadImageFormatException


Я ради эксперимента, даже пересобрал приложение(без ошибок).


Пысы то приложение поломал, просто интересно как с этим бороться.
 eXeL@B —› Крэки, обсуждения —› .Net многослойный пакер

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS