ВИДЕОКУРС ВЗЛОМ
обновлён 2 декабря!

NAME: ILSpector
DESC: The best decompiler and debugger for the obfuscated .net assemblies.
Last build: 25.03.2016
URL: http://il4re.ml/


Description:
ILSpy (based on original latest ILSpy public version 2.2.0.1737)
-add debugger from the SharpDeveloper studio
-add CopyFullyQualifiedTypeName.Plugin
-add OpCodeTableForm
-add to treeview contextmenu:
- strong name utility
- rename class utility
- Jump to EntryPoint
- string viewer utility (search enable)
- extension exeecute utility (reservation work enable)
- search any text in decompileTextView
- Find method call
- Analyze. Reference calls positioning and highlight ("IL Code" view)
- hexeditor methodbody utility (runtime compilation enable,
two technologies save the result(High Level:recompile assembly
and Low Level:Binary Patch(See results and work in Patch_table)))
add to decompiletextview contextmenu:
- replace instruction (High Level,need recompile to save assembly)
- nop instruction (High Level,need recompile to save assembly)
- reverse branch (High Level,need recompile to save assembly)
- nop instruction (Low Level, no need recompile binary patch see Patch Table)
- reverse branch (Low Level, no need recompile binary patch see Patch Table)

Mono.Cecil
-ignore null type (Read TypeDefinition)
-ignore invalid parameter(Read MethodDefinition)
-ignore invalid generic argument()
-ignore invalid attribute (if (attribute.Constructor == null) continue;)
-ignore invalid signature(GetSecurityDeclarationSignature)
-fix handle null value in obfuscated assembly
-add ToString for CustomAttributeArgument
-add ToString for CustomAttributeNamedArgument
-ignore null element(MemberDefinition)
-avoid recursive declaringtype of some obfuscated assemblies,currently only one level checking
-add AllMemberReferences(IEnumerable<MemberReference> GetMemberReferences)
-add ElementTypeIntValue(ElementTypeIntValue)
-add support to read/write directly from bytes(FromBytes)
-Read reloc section, Contributed by Khiem Nguyen
-add alternative "Save" technology modified assembly (support obfuscated assembly)

Sorry for my bad English and WPF Need bug reports)

| Сообщение посчитали полезным: redlord, Gideon Vi, djdram, zds, uncleua, Austerlitz, 4kusNick, nick8606, vovanre, verdizela, TryAga1n, v00doo, VodoleY, Alinator3500, soho, ZaZa, s0cpy, DICI BF, CyberGod, plutos, Deluser, SReg, zNob, raiser, Shubka75, JohnyDoe, Dart Raiden, Bronco, Hellspawn, neprovad, aleXela, HandMill, AKAB, sefkrd, Autokent

упомянутый выше dnSpy обновился до версии 1.2.2.1

https://github.com/0xd4d/dnSpy/releases

| Сообщение посчитали полезным: igorca, sendersu, Autokent

New version 3.5.0 (A gift from Santa)
- added: rename for overrided method (context menu - rename)
- fixed: breakpoints did not work
- added: auto breakpoint for external methods (Breakpoint menu)
- added: auto breakpoint for external classes (Breakpoint menu)
- added: x86-x64 native code disasm (click on unmanaged method)
- added: options for x64-64 disasm (option im main menu)
- added: byte-patch for native methods (Edit as bytes contextmenu) (view tuts)
- added: OllyDbg OD2Plg breakpoints export (view tuts)
- added: size correction for native methods body
- added: x86-64 assembler support as byte-patch
- fixed: "Restore original bytes" working for both managed and native

Специально для русскоговорящего сектора
Я не встречал на просторах инета инструменты позволяющие работать с миксед_сборками.
Теперь такой инструмент есть.

18:02 Был баг на сайте.Fixed

| Сообщение посчитали полезным: nick8606, vovanre, Hellspawn, 4kusNick, zNob, Dart Raiden, zds, Hugo Chaves, Apocalypse, Autokent, plutos, DICI BF

Рад видеть, что проект продолжает развиваться!
Молодцы, что с именем разрулили, звучит даже лучше чем раньше. Хорошо бы ещё и тему переименовать соответствующе и линк на сайт в шапке.

Во я программист крутой какой) Ни одного багрепорта.

Еще б найти нативные сборки-то.. Их же чуть-ли не по пальцам посчитать

Medsft пишет:
rename for overrided method

Really tiny typo: overridden method

Otherwise, PERFECT!

Вот вам примерчик из туторов.
Tutorial sample

{ Атач доступен только для участников форума } - UnmanagedSampleToSasha(1).exe

Добавлено спустя 1 минуту
Вот еще один с немного другой реализацией

{ Атач доступен только для участников форума } - UnmanagedSampleToSasha.exe

Добавлено спустя 4 минуты
По ходу надо замастырить вам крякмис на микседе))) За ним будующее защит NET

есть ли функция позволяющая найти все вызовы dll (любых методов и классов) из других подгруженных сборкок
т.е. анализ не конкретного метода, а всей сборки?

а как бряки ставить ? ф9 не работает...((

Bronco
нажимать на эту полоску

сейчас кстати тестировал - если ставить бряк в режиме C# то не срабатывает. если поставить в режиме просмотра IL, то срабатывает. потом можно обратно переключится на C# и все шагает. хотя раньше вроде и поставленные в режиме C# бряки работали

{ Атач доступен только для участников форума } - Безымянный.jpg

Bronco, zds - спасибо за багрепорты в новой версии это будет исправлено

| Сообщение посчитали полезным: Hellspawn, zds

Medsft я еще не смотрел, но сразу вопрос, переменные уже можно просматривать в отладчике или нет?
тему переименовать?

deleted

Hellspawn пишет:
переменные уже можно просматривать в отладчике или нет? - сейчас я немного занят парсингом PE заголовка, потом если товарищ re который обещал расправиться с переменными, как всегда будет занят))) возьмусь за них.
P.S.Господа неужели в таком хорошем обществе нет альтруистов желающих прикрутить "Object viewer" от Dile к ILSpector`у на безвозмездной основе ))))

Hellspawn пишет:
тему переименовать? переименуй пожалуйста.

Medsft поправил первый пост и название темы.
p.s. такой проект можно и проданатить прикрутил бы к сайту кнопочек для donate

Hellspawn пишет:
такой проект можно и проданатить - да мы хотели но какаято из лицензий не позволяет это сделать

Medsft пишет:
да мы хотели но какаято из лицензий не позволяет это сделать
Никакая лицензия не запретит вам повесить кнопку для пожертвований, ибо вы их собираете для себя, это просто деньги в дар и ничего более, софт вы продолжаете распространять согласно лицензиям и никак не препядствуете его распространению. А те кто желает отблагодарить - смогут это сделать.

У PayPal довольно просто сделать кнопку для пожертвований например (несколько кликов в менюшках на портале и html код для кнопки готов).

Medsft
возможно ли в будущем в режиме отображения IL добавить помимо вывода RVA адреса метода, еще offset?

4kusNick пишет:
Никакая лицензия не запретит вам повесить кнопку для пожертвований - vovanre ответь что нибудь.
zds ок

| Сообщение посчитали полезным: zds

Medsft пишет: re который обещал расправиться с переменными
Мы ж вроде прикручивали переменные, только они через одно место работали, не?
Из проблем там оставался обход контейнеров и изменение значения переменных на лету.

Чуток не верно. Нас отшили все огрегаторы аля - "Идите в жопу, вы ничего не продаёте". Кто то из нас предлагал раздельно поставлять (paypal,wb,visa и тд), но почему то заглох разговор.

На себя без проблем могу webmoney и биткоины настроить, а палку извините, в моей стране дикий геморрой.

аварийное завершение через 2-4 сек после выбора Class or Method Injector(high level)

Уважаемый Medsft! Выражаю своё почтение за столь офигительную работу!

Есть софтинка, обработанная ConfuserEx 0.6.0. Куда только её не пихал - ничто не может её "прожевать" - ни Ollydbg, ни WinDbg, ни даже IDAPro. Ни один автоматический анпакер также не справился (UnconfuserEx и NoFuserEx). Не обошла сия участь и Ваше творение - не ставятся брейкпоинты. Не посмотрите, в чём там дело? Кастомные правки в пакере или глюки ILSpector'a?

http://rghost.ru/8hVxhTyNR

zds пишет:
аварийное завершение через 2-4 сек после выбора Class or Method Injector - инжектить можно только public static object.
lz - (посмотрел) как-бы так сказать чтоб не обидеть. На данный момент я занят над следующим билдом ILSpector`a, но на данный момент текущая версия отлично справляется со своими задачами в том числе и над вашем примером, не всегда надо в лоб бить сразу. Вариантов решения проблем несколько:
1. В запросы на взлом
2. Открыть тему на форуме и попытаться с помощью мозга коммьюнити решить задачку.
3. Попытаться самому. Поскольку раз уж начал писать, дам Вам первый совет (пинок в нужном направлении)))): Запустите свой примерчик, и сдампите его.Там много интересного найдете.

Medsft, спасибо за пинок

С запросами на взлом - не наш метод. Почти 12 лет не брал в руки шашек (до этого активно занимался реверсингом). Сейчас пытаюсь наверстать упущенное

Medsftя имею ввиду, что нажимаю Class or Method Injector, выходит диалог выбора файла...2-3 сек и аварийное завершение. я даже не успеваю что-то выбрать

lz, илспекетор вполне справляется с этим.

vovanre,

Фантастика! Вы даже активацию прошли
Хотя суть задачи - просто декомпиляция, лицензия и так есть ....

У меня эта сборка в илспекторе отображает только референсы с бесконечной вложенностью и 4 безымянных ресурса. Как же у вас получилось сделать так, чтобы этот прекрасный софт "скушал" данную сборку?

Тут не запросы на взлом.

Максимум подскажу структуру проверки

vovanre

Нет-нет, я не прошу ломать. Я хочу разобраться, почему не получается декомпилировать сборку именно с помощью ILSpector'a. Сюда написал только в качестве фидбека - может в программке ошибочка.

Поэтому и вопрос - не как ломать, а как у вас получилось распаковать мою сборку с помощью IlSpector'a? Правильно ли я понимаю, что вы предварительно что-то модифицировали в exe-шнике и только потом открыли его в ILSpector'e? Или какая-то хитрость есть в самой программке?