De4Dot последняя версия: de4dot/de4dot: .NET deobfuscator and unpacker.

Что эквивалентно этому без ixor ~ if(~(i3 + -1) < -1) { . .. } . будет ли это так? if((i3 + 1) > 0) { … } или (сомневаюсь в этом?) if((i3 + 0) > 0) { … } или (сомневаюсь в этом?) if(i3…

Итак, я пытаюсь написать универсальный строковый деобфускатор (похожий на то, что .NET имеет с простым Assembly Explorer) Что я хочу сделать, так это захватить инструкции метода через BCEL и…

Существует ли что-то вроде Dispatcher для ядра .NET? Мне нужно создать поток в ядре .NET и иметь возможность отправлять действия, которые будут вызваны в потоке. Кроме того, я хотел бы иметь…

У меня есть приложение COM, которое фактически является надстройкой для PowerPoint. В предыдущих версиях он использовал .NET 2.0 и позже .NET 3.5 (которые оба имеют одну и ту же версию CLR). Я…

Мы используем Nant для автоматизации наших сборок. Мы модернизируем наши проекты до .NET 4.5. Похоже, что Nant 0.92, который является последней сборкой, поддерживает только .NET 4.0. Есть в любом…

Это вопрос из двух частей. Мне нужно, чтобы обе части были адресованы для полного ответа. Часть I У меня есть настольное приложение .NET 4.5, и мне интересно, смогу ли я развернуть его в Windows XP,…

Я могу использовать .NET CLI если я хочу создать ядро ASP.NET 1.0 приложение, которое использует платформу .NET? Является ли .NET CLI только для новой библиотеки ядра .NET или и для ядра, и для .NET…

Я использую VS 2008 и последнюю бесплатную версию Eazfuscator и хочу перейти на VS 2013. Последняя бесплатная версия Eazfuscator не работает с VS 2013, и я взял также бесплатный…

Я недавний выпускник, пытающийся перестроить свой путь в студию видеоигр. Я являюсь Альфа-тестером для игры и работаю над полным пониманием их кода из .DLLs, которые были построены таким образом…

Я планирую использовать Smart Assembly 7+ для запутывания моей библиотеки .NET C#. Но когда я просматривал некоторые форумы, я наткнулся на то, что есть даже программы для деобфускации DLLs,…

Как защитить исполняемый файл .NET от de4dot или аналогичных инструментов?

Я проверил 4-5 обфускатор сегодня. Основное назначение обфускатора должно заключаться не в том, чтобы скрыть свой лицензионный код, а в том, чтобы защитить программное обеспечение / алгоритм от простого написания программистом, просто увидев код. Потому что если любое программное обеспечение, такое как Windows, SQL Server, Adobe и т. Д., Может быть легко взломано, то нет никаких шансов, что вы сможете скрыть свой лицензионный код. В моем случае я разработал несколько программ на C #, которые можно легко тиражировать, если у кого-то есть доступ к его коду внутри событий нажатия кнопки. Итак, я протестировал несколько обфускаторов, которые реализуют «обфускацию кодового потока», которая действительно затрудняет понимание потока выполнения / алгоритма кода. Фактически, когда я выполнял «Обфускацию кодового потока» на своем программном обеспечении, я не мог понять сам мой код, не говоря уже о том, что могли понять другие.

Просто представьте, что вы потратили несколько недель на разработку алгоритма, который может выполнять определенную задачу, такую ​​как: вы можете получить авиабилеты со всех сайтов и показать в программном обеспечении. Если кто-то может увидеть его код, он / она может просто создать одно и то же программное обеспечение за день. Таким образом, лучше перемешивать алгоритм таким образом, чтобы его стало очень трудно понять.

Я попробовал: Dotfuscator, Eziriz .NET Reactor и Crypto Obfuscator и rustemsoft Skater .NET Obfuscator. (И несколько других)

Ниже были мои результаты:

1. Все шифровки строк / переменных / функций всеми обфускаторами были легко де-обфусцированы де-обфускатором de4dot. Таким образом, нет смысла шифровать строки / переменные / функции.
2. Я использовал максимальный уровень «обфускации кода» для всех 3. Я не мог использовать rustemsoft Skater .NET, потому что его программное обеспечение зависало и пользовательский интерфейс вводил меня в заблуждение. И в бесплатной / ознакомительной версии не было включено «Обфускация кода» для оценки. Итак, Dotfuscator сделал лучшую разработку кода. И тогда .NET Reactor и Crypto Obfuscator были на одном уровне, но их запутывание было намного хуже, чем у Dotfuscator.
3. Вы можете попытаться виртуализировать программное обеспечение, используя программное обеспечение для виртуализации, которое должно предотвратить прямую де-обфускацию с помощью de4dot, но опять же exe может быть легко распакован с помощью любого хорошего распаковщика, а затем извлеченная сборка может быть де-обфускацирована с помощью de4dot. Программное обеспечение для виртуализации используется, чтобы упаковать основные exe, dll и другие ресурсы в один большой exe, так что вам не нужно создавать установочный файл и т. Д. И запускать exe непосредственно на любом компьютере. Таким образом, в этом случае вы можете зашифровать сборку .NET в одном зашифрованном exe-файле. Но, как я уже сказал, его можно легко распаковать. На YouTube есть много видео на эту тему. Это не делает «запутывание потока управления», которое было моей главной целью.

Итак, наконец то, что я сделал:

Запутывайте поток управления с помощью Dotfuscator, затем снова «поток управления» запутывайте запутанный exe с помощью .NET Reactor или Crypto Obfuscator. После этого, если я де-запутать exe, код не может быть понят любым программистом промежуточного уровня.

Ransomware Recap: Notable New Ransomware and the Aftershocks of Major Outbreaks — Новости о безопасности

This week the conversation is still about the two ransomware responsible for the widespread chaos that affected organizations across the globe—WannaCry and Petya. WannaCry was detected in early May, but there were recent outbreaks in countries across Asia and in Australia. Meanwhile, the repercussions of Petya are still being felt. Experts are dissecting the details and trying to find the motivation behind this attack, as well as who is still vulnerable.

Other notable ransomware of the week

The downloader hashes for Karo ransomware (detected by Trend Micro as RANSOM_KARO.A) were actually included in a Github repository for Petya-related IOCs, but Karo is a unique threat on its own. It is a MSIL-compiled (which needs a .NET framework in order to work) and obfuscated file that typically arrives in a macro-enabled document that uses a Powershell downloader code. This isn’t the first ransomware to use this technique, and we’ve previously discussed why more and more attackers are abusing Powershell.

Using the de4dot tool, which is an open source .NET deobfuscator and unpacker, we also found that it has anti-sandbox features:

Figure 1. Snippet of code from Karo

There are a few other notable ransomware to come out over the past week. Recently the infamous crypto-ransomware SamSam (detected as RANSOM_SAMAS) has been more active. Reports show that it now demands a substantial ransom from its victims, as much as 12 BTC—roughly US$31,600—to decrypt multiple devices.

ViACrypt (detected by Trend Micro as RANSOM_ VIACRYPT) is a newer, potentially harmful ransomware that uses RSA-1024 algorithm to encrypt files and has a Latvian ransom note. Meanwhile, a Hidden Tear variant (detected by Trend Micro as RANSOM_HIDDENTEARBATTLEFIELD) is masquerading as an installer for the first-person shooter game Battlefield to trick gamers into installing it.

Figure 2. ViACrypt ransom note

The ransomware Gank (detected by Trend Micro as RANSOM_GANK), which appends the extension .ganklocked onto files it encrypts, is also notable. There is also the recently discovered ABCScreenlocker (detected by Trend Micro as RANSOM_ABCSCREENLOCKER), which simply locks the user out of his device.

Figure 3. ABCScreenlocker image

At the heels of these outbreaks, Microsoft released its contribution to protecting users from ransomware. Their recent Windows 10 Insider Preview Build introduces a new controlled folder access feature that “monitors the changes that apps make to files in certain protected folders. If an app attempts to make a change to these files, and the app is blacklisted by the feature, you’ll get a notification about the attempt.” Users can add certain folders that they want to protect, and also allow specific apps through the feature.

Enterprises and all users should use best practices and be proactive in protecting systems against ransomware.

Ransomware Solutions

Enterprises can benefit from a multi-layered, step-by-step approach in order to best mitigate the risks brought by these threats. Email and web gateway solutions such as Trend Micro™ Deep Discovery™ Email Inspector and InterScan™ Web Security prevents ransomware from ever reaching end users. At the endpoint level, Trend Micro Smart Protection Suites deliver several capabilities like high-fidelity machine learning, behavior monitoring and application control, and vulnerability shielding that minimizes the impact of this threat. Trend Micro Deep Discovery Inspector detects and blocks ransomware on networks, while Trend Micro Deep Security™ stops ransomware from reaching enterprise servers—whether physical, virtual, or in the cloud.

For small businesses, Trend Micro Worry-Free Services Advanced offers cloud-based email gateway security through Hosted Email Security. Its endpoint protection also delivers several capabilities such as behavior monitoring and real-time web reputation in order detect and block ransomware.

For home users, Trend Micro Security 10 provides strong protection against ransomware by blocking malicious websites, emails, and files associated with this threat.

Users can likewise take advantage of our free tools such as the Trend Micro Lock Screen Ransomware Tool, which is designed to detect and remove screen-locker ransomware; as well as Trend Micro Crypto-Ransomware File Decryptor Tool, which can decrypt certain variants of crypto-ransomware without paying the ransom or the use of the decryption key.

HIDE

Like it? Add this infographic to your site:
1. Click on the box below.   2. Press Ctrl+A to select all.   3. Press Ctrl+C to copy.   4. Paste the code into your page (Ctrl+V).

Image will appear the same size as you see above.

de4dot / de4dot: деобфускатор и распаковщик .NET.

de4dot — деобфускатор и распаковщик .NET с открытым исходным кодом (GPLv3), написанный на C #. Он будет изо всех сил стараться восстановить упакованную и запутанную сборку почти до исходной сборки. Большая часть обфускации может быть полностью восстановлена ​​(например, строковое шифрование), но переименование символа невозможно восстановить, поскольку исходные имена (обычно) не являются частью запутанной сборки.

Он использует dnlib для чтения и записи сборок, поэтому убедитесь, что вы его получили, иначе он не будет компилироваться.

Получить двоичные файлы с сервера сборки.

Нет поддержки. Не пишите мне, если вы не можете его использовать или если он не может деобфускировать файл, запутанный с помощью обновленного обфускатора.

Вместо этого попробуйте обновить de4dot самостоятельно. Это намного проще, чем вы думаете. Если вы не можете, поищите в Интернете, и вы найдете несколько форумов, где вы можете задать свой вопрос.

Вот псевдослучайный список действий, которые он будет делать в зависимости от того, какой обфускатор использовался для обфускации сборки:

• Встроенные методы.Некоторые обфускаторы перемещают небольшие части метода в другой статический метод и вызывают его.
• Расшифровать строки статически или динамически
• Расшифровать другие константы. Некоторые обфускаторы могут также шифровать другие константы, такие как все целые числа, все числа с двойной точностью и т. Д.
• Расшифровать методы статически или динамически
• Удалить методы прокси. Многие обфускаторы заменяют все инструкции вызова вызовом делегата. Этот делегат, в свою очередь, вызывает реальный метод.
• Переименовать символы.Несмотря на то, что большинство символов невозможно восстановить, он переименует их в удобочитаемые строки. Однако иногда некоторые оригинальные имена можно восстановить.
• Девиртуализация виртуализированного кода
• Расшифровать ресурсы. Многие обфускаторы имеют возможность шифровать ресурсы .NET.
• Расшифровать встроенные файлы. Многие обфускаторы имеют возможность встраивать и, возможно, шифровать / сжимать другие сборки.
• Удалить код обнаружения тампера
• Удалить код анти-отладки
• Деобфускация потока управления.Многие обфускаторы модифицируют IL-код, так что он выглядит как спагетти-код, что очень затрудняет понимание кода.
• Восстановить поля класса. Некоторые обфускаторы могут перемещать поля из одного класса в другой, созданный обфускатором.
• Преобразование PE exe в . NET exe. Некоторые обфускаторы заключают сборку .NET в Win32 PE, поэтому декомпилятор .NET не может прочитать файл.
• Удаляет большинство / все ненужные классы, добавленные обфускатором.
• Исправляет некоторые ошибки peverify. Многие из обфускаторов содержат ошибки и по ошибке создают непроверяемый код.
• Восстановить типы параметров и полей метода

• Agile.NET (он же CliSecure)
• Babel.NET
• CodeFort
• CodeVeil
• CodeWall
• Криптообфускатор
• Обфускатор DeepSea
• Дотфускатор
• .NET Reactor
• Eazfuscator.NET
• Goliath.NET
• ИлПротектор
• MaxtoCode
• МПРЕСС
• Перерыть
• Конькобежец.NET
• SmartAssembly
• Специи.Нетто
• Xenocode

Некоторые из вышеупомянутых обфускаторов используются редко (например, Goliath.NET), поэтому они прошли гораздо меньше тестирования. Помогите мне, сообщая об обнаруженных вами ошибках или проблемах.

Иногда запутанная сборка и все ее зависимости загружаются в память для выполнения. Используйте безопасную среду песочницы, если вы подозреваете, что сборка или сборки являются вредоносными.

Даже если текущая версия de4dot не загружает определенную сборку в память для выполнения, будущая версия может.

пользователей N00b

Перетащите файл (ы) на de4dot.exe и подождите несколько секунд.

Деобфускировать более одного файла за раз

Если было запутано несколько сборок, очень вероятно, что вам придется деобфускировать их все одновременно, если вы не отключите переименование символов. Причина в том, что если сборка A имеет ссылку на класс C в сборке B, и вы переименовываете символы только в сборке B, тогда класс C можно переименовать, например, в. Class0, но ссылка в сборке A по-прежнему ссылается на класс с именем C в сборке B.Если вы деобфускируете обе сборки одновременно, все ссылки также будут обновлены.

Найти все запутанные файлы и деобфускировать их

Следующая командная строка деобфускирует все сборки, которые были запутаны поддерживаемым обфускатором, и сохранит сборки в c: \ output

  de4dot -r c: \ input -ru -ro c: \ output
  

-r означает рекурсивный поиск. -ru означает, что неизвестные файлы следует игнорировать. -ro означает, что выходные файлы следует поместить в следующий каталог. Обычно вы сначала копируете c: \ input в c: \ output , а затем запускаете команду. Таким образом, все файлы будут находиться в c: \ output , даже не сборки и необработанные сборки. Когда de4dot закончит, вы просто дважды щелкните основную сборку в c: \ output , и, надеюсь, она должна запуститься.

Обфускатор обнаружения

Используйте опцию -d для обнаружения обфускатора без деобфускации какой-либо сборки.

Найти все сборки .NET и обнаружить обфускатор. Если это неподдерживаемый обфускатор или он не запутан, он напечатает «Неизвестный обфускатор».

  de4dot -d -r c: \ input
  

То же, что и выше, за исключением того, что будет показано, какие файлы были запутаны поддерживаемым обфускатором.

  de4dot -d -r c: \ input -ru
  

Обфускатор обнаружения

  de4dot -d file1.dll file2.dll file3.dll
  

Сохранение токенов метаданных

Иногда, в редких случаях, вам может понадобиться сохранить токены метаданных.Используйте --preserve-tokens или --preserve-table . Также рассмотрите возможность использования --keep-types , поскольку он не удалит какие-либо типы и методы, добавленные обфускатором. Еще одна полезная опция — --dont-create-params . Если используется, средство переименования не будет создавать строки Param для параметров метода, у которых нет строки Param. Таким образом, таблица ParamPtr не будет добавлена ​​в ваши сборки. В Peverify есть ошибка, но она не поддерживается (вы увидите множество «ошибок»).

Кучи #Strings, #US и #Blob также можно сохранить, используя --preserve-strings , --preserve-us и --preserve-blob соответственно.Из этих трех --preserve-us является наиболее полезным, поскольку ldstr инструкция и модуль. ResolveString () напрямую ссылается на кучу #US.

--preserve-sig-data следует использовать, если обфускатор добавляет дополнительные данные в конце подписей, которые он использует для своих собственных целей, например. в качестве ключей дешифрования. Confuser — это один из обфускаторов, который это делает.

--preserve-tokens сохраняет все важные токены, но также включает --preserve-us , --preserve-blob и --preserve-sig-data .

Если он обнаружен как неизвестный (неподдерживаемый) обфускатор (или если вы принудительно используете его с помощью команды -p un ), все токены сохраняются, включая кучу #US и любые дополнительные данные в конце подписей. Кроме того, не удаляются никакие типы, поля или методы обфускатора.

Сохранить все важные токены, #US, #Blob, дополнительные данные сигнатуры.

  de4dot --preserve-tokens file1.dll
  

Сохранять все важные токены, #US, #Blob, дополнительные данные сигнатуры и не удалять типы / поля, добавленные обфускатором

  de4dot --keep-types --preserve-tokens file1.dll
  

Сохраните все важные токены, #US, #Blob, дополнительные данные сигнатуры и не создавайте лишних строк Param, чтобы предотвратить создание таблицы ParamPtr.

  de4dot --dont-create-params --preserve-tokens file1.dll
  

Сохраните все важные жетоны, кроме жетонов Парам.

  de4dot --preserve-table all, -pd file1.dll
  

Динамическое дешифрование строк

Хотя de4dot поддерживает множество обфускаторов, некоторые из них все еще не поддерживаются.Чтобы расшифровать строки, вам сначала нужно выяснить, какой метод или методы расшифровывают строки. Чтобы получить токен метода этих дешифраторов строк, вы можете использовать ILDASM с включенной опцией «показать токены метаданных». Токен метода — это 32-битное число, которое начинается с 06, например. 06012345.

Эта команда загрузит сборку file1.dll в память путем вызова Assembly.Load () . Когда он обнаруживает вызовы двух дешифраторов строк (06012345 и 060ABCDE), он вызывает их, создавая динамический метод, и сохраняет результат (расшифрованную строку).Вызов дешифратора строк будет удален, и расшифрованная строка будет на своем месте.

  de4dot file1.dll - делегат strtyp --strtok 06012345 --strtok 060ABCDE
  

Поскольку сборка загружается и выполняется, убедитесь, что вы запускаете ее в песочнице, если подозреваете, что файл является вредоносным.

Принудительное обнаружение определенного обфускатора

de4dot не идеален. Если ему не удается обнаружить обфускатор, вы можете использовать параметр -p , чтобы заставить его предположить, что он был им запутан.

Force SmartAssembly

  de4dot file1.dll -p sa
  

Принудительно неподдерживаемый обфускатор

  de4dot file1.dll -p un
  

Для других типов обфускаторов см. Экран справки.

Отключение переименования символа

Переименование символов не так просто, как переименование A в B, когда задействовано отражение. de4dot в настоящее время не поддерживает переименование XAML, поэтому, если вы подозреваете, что он использует WPF (или если это приложение Silverlight), вам следует отключить переименование, если сборка не запускается.

  de4dot --dont-rename file1.dll file2.dll
  

--keep-names также можно использовать, чтобы указать de4dot не переименовывать определенные символы, например. «не переименовывать поля».

Переименуйте все, что нужно переименовать, кроме свойств, событий и методов.

  de4dot --keep-names pem file1.  [a-zA-Z] \ w * $" file1.dll
  

Прочие опции

Запустите de4dot без аргументов, и он покажет все параметры.

De4dot — канал загрузки — PROG3.COM

3.1.41592.3045 de4dot (20151130) Два

Загрузка: speedboy74 Время загрузки: 2015-12-02 Скачивание 2 раза

3.1.41592.3045 de4dot (20151130)

De4dot

Де4дот-мод-реактор 4.9One

Загрузка: yinghuanufang Время загрузки: 2015-11-22 загрузка 7 раз

De4dot последняя версия 4.9 de4dot-mod-Reaction 4.9

De4dot Четыре целых девять десятых

De4dot мощный инструмент сглаживания Net последняя версия 2

Загрузка: uitony время загрузки: 2015-06-07 Скачивание 42 раза

Формат команды: de4dot [имя файла] -o [имя выходного файла]

De4dot

Последняя версия De4dot-3.

1.41592.Net shell инструмент деобфускации 2

Загрузка: liema2000 время загрузки: 2015-01-13 Скачивание 45 раз

Последняя версия De4dot-3.1.41592. Средства защиты от обфускации Net Shelling. Это обстрел инструментов с открытым исходным кодом, потому что его способность exuviate относительно высока, называется артефактом, он поддерживает DotFuscator, MaxToCode shelling. Функция этого программного обеспечения очень мощная, для поддержки решения встроенных файлов или ресурсов, для поддержки удаления анти-отладочного кода и т. Д.. The …

De4dot .Сеть Артобстрел Инструмент сглаживания

V3.1.41592.3405 de4dotZero

Загрузка: a09000 Время загрузки: 2014-07-26 Скачивание 118 раз

De4dot — это открытый исходный код (GPLv3). Сетевой деобфускатор и распаковщик на C #. он будет изо всех сил стараться восстановить упакованную и запутанную сборку почти до исходной сборки.Большая часть обфускации может быть полностью восстановлена ​​(например, строковое шифрование), но переименование символа невозможно восстановить sin …

De4dot Последняя версия Анти-путаница C # .Сеть

.Net shelling anti aliasing artifact De4dot-3.1.41592 последняя версия One

Загрузка: wxlong8888168 Время загрузки: 2014-06-19 Загрузки 134 раза

Сетевой артобстрел сглаживание артефакта De4dot-3.1.41592 последняя версия. De4Dot — это инструмент для обфускации / обфускации с открытым исходным кодом, этот инструмент можно рассматривать как инструменты уровня артефактов. Поскольку его способность к экзувиату действительно очень велика, его можно использовать для успешного запуска программы DotFuscator, обработанной MaxToCode, как и для других упаковщиков / инструментов защиты от обфускации, таких как . ..

.Сеть Артобстрел Анти-путаница De4dot

.Артефакт сглаживания сетевых обстрелов De4dot-3.1.4159One

Загрузка: hwb_net время загрузки: 2014-05-26 загрузка 13 раз

Net shelling anti aliasing artifact De4dot-3.1.41592 последняя версия. De4Dot — это инструмент для обфускации / обфускации с открытым исходным кодом, этот инструмент можно рассматривать как инструменты уровня артефактов. Поскольку его способность экзувиата действительно очень велика, его можно использовать для успешного запуска программы DotFuscator, обработанной MaxToCode, как и для других упаковщиков / средств защиты от обфускации, таких как…

.Сеть Артобстрел Артефакт сглаживания De4dot

3.1.4 de4dotOne

Загрузка: luckyqhc время загрузки: 2014-05-02 Скачивание 59 раз

. Net программный артефакт сглаживания, мощное использование простого

.сеть Анти-путаница De4dot Последняя версия de4dot

.Net shelling anti aliasing artifact De4dot-3.1.41592 последняя версияThree

Загрузить: loveaixing время загрузки: 2014-04-21 скачать 176 раз

Net shelling anti aliasing artifact De4dot-3.1.41592 последняя версия. De4Dot — это инструмент для обфускации / обфускации с открытым исходным кодом, этот инструмент можно рассматривать как инструменты уровня артефактов.Поскольку его способность к экзувиату действительно очень велика, его можно использовать для успешного запуска программы DotFuscator, обработанной MaxToCode, как и для других упаковщиков / инструментов защиты от обфускации, таких как …

.Сеть Артобстрел Анти-путаница De4dot

Исходный код De4dot2.

1.3 и техническая документация Три

Загрузить: итржитрж Время загрузки: 2013-09-07 Скачано 6 раз

Исходный проект знаменитого фильма.Чистая программная оболочка de4dot2.1.3, чтобы понять анти-путаницу и шелушение, посмотрите исходный код, официальный сайт прерывистой и git здесь предоставляет удобный для всех скачать. Был протестирован.

Анти компиляция De4dot Исходный код

C # оболочка четыре сокровища

Загружен: liaook время загрузки: 2013-07-08 скачано 119 раз

НЕТТО.Рефлектор Pro dile_v0_2_6_x86 de4dot Шип на рынке всех зашифрованных DLL

C # обстрел DLL-оболочка De4dot

De4dot-2.0.3 (антикомпилятор .Net) Zero

Загрузка: qq49256763 Время загрузки: 2013-02-04 Загрузки 1168 раз

De4Dot оболочки открытого исходного кода / анти-инструменты запутывания, чтобы встретить инструмент Бога Я хотел бы поблагодарить форумных друзей Ван, он в моей девственной пасте новичка «[оригинал] новичок. Программа Net »упомянула этот инструмент, и этот инструмент я предлагаю для того, чтобы инструменты уровня артефактов. Поскольку его способность к обстрелу очень хороша, я успешно его использую …

De4dot

De4dot-1.9.1One

Выгрузка: ybhzf время загрузки: 2012-12-19 скачано 51 раз

De4dot-1.9.1, инструмент с открытым исходным кодом для сетевого сглаживания.

Сеть Анти-путаница De4dot

Галерея NuGet | de4dot.блоки 3.2.0

 Установочный пакет de4dot.blocks-Версия 3.2.0 

 dotnet add package de4dot.blocks --version 3. 2.0 

Для проектов, поддерживающих PackageReference, скопируйте этот узел XML в файл проекта, чтобы ссылаться на пакет.

 пакет добавить de4dot.blocks - версия 3.2.0 

Команда NuGet не предоставляет поддержку для этого клиента. Пожалуйста, свяжитесь с сопровождающими для получения поддержки.

 #r "nuget: de4dot.blocks, 3.2.0" 

Директива #r может использоваться в F # Interactive, сценариях C # и.NET Interactive. Скопируйте это в интерактивный инструмент или исходный код скрипта, чтобы ссылаться на пакет.

 // Установите de4dot.blocks как надстройку для тортов
#addin nuget:? package = de4dot.blocks & version = 3.2.0

// Устанавливаем de4dot.blocks как Cake Tool
#tool nuget:? package = de4dot.blocks & version = 3.2.0 

Команда NuGet не предоставляет поддержку для этого клиента.Пожалуйста, свяжитесь с сопровождающими для получения поддержки.

.NET Reactor | Жизнь в шестнадцатеричном формате

Просматривая свой RSS-ридер, я наткнулся на статью от 9 октября 2017 года под названием OilRig Group наращивает атаки с помощью новых документов доставки и нового трояна-инжектора.

Мое внимание привлекла часть статьи:

Метод «Run» вызывает функции, у которых есть конечный автомат, который диктует предпринимаемые действия. На высоком уровне эти конечные автоматы пытаются создать процесс и внедрить созданную полезную нагрузку во вновь созданный процесс.Использование конечных автоматов усложняет анализ, потому что это заставляет поток выполнения прыгать непоследовательным образом.
…
Значения состояния резко меняются, что требует от аналитика также обхода кода, чтобы определить его функциональность. Это интересный метод антианализа, который акторы OilRig не использовали в других своих инструментах.

.NET? Государственные машины? Сложной техники, которую мы раньше не видели? Покажи мне, покажи мне, покажи мне! bigsmile

Найти DLL было относительно легко, а найти метод, который они описывали, было намного сложнее.В конце концов, мне пришлось искать константу «19», упомянутую в статье .. Итак, вот метод, во всей его красоте:

Если вы кричите «Чувак, этот код запутан!», Вы правы. Это запутано.

Если вы кричите «Это .NET Reactor!», Вы потратили слишком много времени на реверсирование приложений . NET.

Но ты прав. .NET Reactor легко распознать по нескольким первым инструкциям, шаблону переименования метода и многому другому.

Вы слышали о de4dot?

Попробуем запустить de4dot на этой dll:

F: \> F: \ de4dot-appveyor \ de4dot.exe d.dll —dont-rename de4dot v3.1.41592.3405 Авторские права (C) 2011-2015 [email protected] Последняя версия и исходный код: https://github.com/0xd4d/de4dot Обнаружен .NET Reactor (F: \ d.dll) Очистка F: \ d.dll ОШИБКА: ОШИБКА: ОШИБКА: ОШИБКА: Хмммм … что-то не сработало. Попробуйте последнюю версию. Для выхода нажмите любую клавишу …

F: \> F: \ de4dot-appveyor \ de4dot.exe d.dll —dont-rename de4dot v3.1.41592.3405 Авторские права (C) 2011-2015 [email protected] Последняя версия и исходный код: https://github.com/0xd4d/de4dot Обнаружен .NET Reactor (F: \ d.dll) Очистка F: \ d.dll ОШИБКА: ОШИБКА: ОШИБКА: ОШИБКА: Хмммм . .. что-то не сработало . Попробуйте последнюю версию. Для выхода нажмите любую клавишу …

Так что, судя по всему, последние версии de4dot глючат.Воспользуемся более старой версией:

F: \> F: \ de4dot-3.0.2 \ de4dot.exe d.dll —dont-rename de4dot v3.0.2.3405 Авторские права (C) 2011-2013 [email protected] Последняя версия и исходный код: https://bitbucket.org/0xd4d/de4dot Обнаружен .NET Reactor (F: \ d.dll) Очистка F: \ d.dll Сохранение F: \ d-cleaned.dll Для выхода нажмите любую клавишу …

F: \> F: \ de4dot-3.0.2 \ de4dot.exe d.dll —dont-rename de4dot v3.0.2.3405 Авторские права (C) 2011-2013 [email protected] Последняя версия и исходный код: https://bitbucket.org/0xd4d/de4dot Обнаруженный .NET Reactor (F: \ d.dll) Очистка F: \ d.dll Сохранение F: \ d-cleaned.dll Для выхода нажмите любую клавишу . ..

И давайте еще раз рассмотрим метод.

Строки по-прежнему не читаются, но где конечный автомат? Его больше нет! Поскольку он никогда не был частью инструментария актеров OilRig, он был просто его частью.Обфускация потока управления .NET Reactor. улыбка

Расшифруйте строки и переименуйте несколько переменных, и вы увидите очень обычный код RunPE (он же полый процесс):

Извлеченные уроки

Урок простой — вы должны знать предмет, о котором пишете. А если чего-то не знаете, спросите у друзей и коллег. Иначе вы просто поставите в неловкое положение себя и свою компанию.

Дополнительная литература

Если вы хотите узнать больше об этой вредоносной программе, я бы посоветовал прочитать анализ DarkMatter.По крайней мере, они могут правильно идентифицировать .NET Reactor. подмигнуть

Деобфускация

— как защитить исполняемый файл .NET от de4dot или подобных инструментов?

Проверил сегодня 4-5 обфускаторов. Основная цель обфускатора не должна заключаться в сокрытии вашего лицензионного кода, а в защите вашего программного обеспечения / алгоритма от простого написания программистом, просто взглянув на код. Потому что, если любое программное обеспечение, такое как Windows, SQL Server, Adobe и т. Д., Можно легко взломать, то у вас нет шансов скрыть свой лицензионный код.В моем случае я разработал несколько программ на C #, которые можно легко воспроизвести, если у кого-то есть доступ к его коду внутри событий нажатия кнопки. Итак, я протестировал несколько обфускаторов, которые реализуют «обфускацию потока кода», что действительно затрудняет понимание потока / алгоритма выполнения кода. Фактически, когда я выполнял «Обфускацию потока кода» в своем программном обеспечении, я не мог понять сам мой код, не говоря уже о том, что могли понять другие.

Просто представьте, вы потратили несколько недель на разработку алгоритма, который может выполнять определенную задачу, например: вы можете получать авиабилеты со всех веб-сайтов и отображать их в программном обеспечении. Если кто-то может увидеть его код, он / она может просто создать то же программное обеспечение за день. Так что лучше перемешать алгоритм таким образом, чтобы его было очень трудно понять кому-либо.

Я пробовал: Dotfuscator, Eziriz .NET Reactor и Crypto Obfuscator и rustemsoft Skater .NET Obfuscator. (И еще несколько)

Мои результаты были следующими:

1. Все шифрование строк / переменных / функций всеми обфускаторами было легко деобфускировано с помощью de4dot de-obfuscator.Итак, нет смысла шифровать строки / переменные / функции.
2. Я использовал максимальный уровень «Обфускации потока кода» для всех 3. Я не мог использовать rustemsoft Skater .NET, потому что его программное обеспечение сильно зависало, а пользовательский интерфейс сбивал меня с толку. А в бесплатной / ознакомительной версии не было включено «Обфускации потока кода» для оценки. Итак, Dotfuscator проделал лучший разбор кода. И тогда .NET Reactor и Crypto Obfuscator были того же уровня, но их обфускация намного уступала Dotfuscator.
3. Вы можете попытаться виртуализировать программное обеспечение с помощью программного обеспечения виртуализации, которое должно предотвратить прямое деобфускирование с помощью de4dot, но опять же exe можно легко распаковать с помощью любого хорошего распаковщика, а затем извлеченную сборку можно де-запутать с помощью de4dot. Программное обеспечение виртуализации используется для упаковки основных exe, dll и других ресурсов в один большой exe, поэтому вам не нужно создавать файл установки и т. Д. И запускать exe непосредственно на любом компьютере. Итак, в этом случае вы можете зашифровать файл.NET в одном зашифрованном exe. Но, как я уже сказал, его легко распаковать. На YouTube есть много видео на эту тему. Он не выполняет «запутывание потока управления», что было моей основной целью.

Итак, наконец то, что я сделал, было:

Запутать поток управления с помощью Dotfuscator, затем снова «поток управления» скрыть запутанный исполняемый файл с помощью .NET Reactor или Crypto Obfuscator. После этого, если я деобфускирую exe, код не сможет понять любой программист среднего уровня.

DE4DOT [Скомпилировано] — [Программы деобфускации]

Это сообщение заблокировано (Puddy) — Unhide

⸻⸻⸻⸻⸻⸻⸻⸻⸻⸻Leaked.wiki⸻⸻⸻⸻⸻⸻⸻⸻⸻⸻

OP 04 апреля 2020 г., 08:37 (Этот пост последний раз был изменен: 4 апреля 2020 г., 08:39, пользователем Puddy. Причина редактирования: Добавлена ​​виртуальная ссылка. )

Ответить

De4dot
Скомпилировано

VirusTotal: Здесь

Ссылка для скачивания:

Скрытый контент

Вы должны зарегистрироваться или войти в систему для просмотра этого контента.

Оставьте подобное, потому что я использовал около 7% моей оперативной памяти для компиляции этого.

Эта утечка была оценена как работающая 0 раз в этом месяце. (Всего 1 раз) (купите это место для рекламы) — вы получите массу просмотров.

Это сообщение заблокировано (zako132) — Unhide

04 апреля 2020 г. , 10:44

Ответить

(4 апреля 2020 г. — 08:37 AM) Puddy Wrote: Показать больше De4dot
Скомпилировано

VirusTotal: Здесь

Ссылка для скачивания:

Оставьте похожую причину, которую я использовал, составляя примерно 7% моей оперативной памяти.

Кей Мах Бой нравится

Это сообщение заблокировано (ShafforJames) — Unhide

Cracked.to Участник

04 апрель, 2020-19:05

Ответить

Я попробую это

Это сообщение заблокировано (ghbnbgrgb) — Unhide

стук по клавиатуре

04 апреля, 2020-19: 32

Ответить

(4 апреля 2020 г. — 08:37 AM) Puddy Wrote: Показать больше De4dot
Скомпилировано

VirusTotal: Здесь

Ссылка для скачивания:

Оставьте похожую причину, которую я использовал, составляя примерно 7% моей оперативной памяти.

не волнуйтесь, это, вероятно, займет около 80% моего барана, лол любил кстати

Не забывайте любить, а не пиявки!

Это сообщение заблокировано (arviex) — Unhide

05 апреля, 2020-11: 36

Ответить

(4 апреля 2020 г. — 08:37 AM) Puddy Wrote: Показать больше De4dot
Скомпилировано

VirusTotal: Здесь

Ссылка для скачивания:

Оставьте похожую причину, которую я использовал, составляя примерно 7% моей оперативной памяти.

Если это плохо сработает, люблю тебя вечно

Это сообщение заблокировано (ChinoXen) — Unhide

06 апреля 2020 г., 09:32

Ответить

[font] Aight попробует это сделать [/ font]

Это сообщение заблокировано (ScaryTheGhost) — Unhide

06 апрель, 2020-16: 43

Ответить

ура приятель <3

Это сообщение заблокировано (SQF) — Unhide

07 апреля, 2020-03: 54

Ответить

Спасибо дружище

de4dot.

Деобфускатор и распаковщик NET

de4dot — деобфускатор и распаковщик .NET с открытым исходным кодом (GPLv3), написанный на C #. Он будет изо всех сил стараться восстановить упакованную и запутанную сборку почти до исходной сборки. Большая часть обфускации может быть полностью восстановлена ​​(например, строковое шифрование), но переименование символа невозможно восстановить, поскольку исходные имена (обычно) не являются частью запутанной сборки.

Характеристики

Вот псевдослучайный список действий, которые он будет делать в зависимости от того, какой обфускатор использовался для обфускации сборки:

  Встроенные методы.Некоторые обфускаторы перемещают небольшие части метода в другой статический метод и вызывают его.
Расшифровывать строки статически или динамически
Расшифруйте другие константы. Некоторые обфускаторы могут также шифровать другие константы, такие как все целые числа, все двойные числа и т. Д.
Расшифровывать методы статически или динамически
Удалите прокси-методы.  Многие обфускаторы заменяют все инструкции вызова вызовом делегата. Этот делегат, в свою очередь, вызывает реальный метод.
Переименовать символы. Несмотря на то, что большинство символов невозможно восстановить, он переименует их в удобочитаемые строки.Однако иногда некоторые оригинальные имена можно восстановить.
Девиртуализация виртуализированного кода
Расшифровать ресурсы. Многие обфускаторы имеют возможность шифровать ресурсы .NET.
Расшифровать встроенные файлы. Многие обфускаторы имеют возможность встраивать и, возможно, шифровать / сжимать другие сборки.
Удалить код обнаружения несанкционированного доступа
Удалить код анти-отладки
Деобфускация потока управления. Многие обфускаторы модифицируют IL-код, так что он выглядит как спагетти-код, что очень затрудняет понимание кода.
Восстановить поля класса.Некоторые обфускаторы могут перемещать поля из одного класса в другой, созданный обфускатором.
Преобразуйте PE exe в .NET exe. Некоторые обфускаторы заключают сборку .NET в Win32 PE, поэтому декомпилятор . NET не может прочитать файл.
Удаляет большинство / все ненужные классы, добавленные обфускатором.
Исправляет некоторые ошибки peverify. Многие из обфускаторов содержат ошибки и по ошибке создают непроверяемый код.
Восстановить типы параметров и полей метода
  

Поддерживаемые обфускаторы / упаковщики

  Agile.NET (также известный как CliSecure)
Babel.NET
CodeFort
CodeVeil
CodeWall
Криптообфускатор
Обфускатор DeepSea
Dotfuscator
.NET Reactor
Eazfuscator.NET
Goliath.NET
ILProtector
MaxtoCode
MPRESS
Рыться
Скейтер.NET
SmartAssembly
Spices.Net
Ксенокод
  

Некоторые из вышеперечисленных обфускаторов используются редко (например, Goliath.NET), поэтому они прошли гораздо меньше испытаний. Помогите мне, сообщая об обнаруженных вами ошибках или проблемах. Предупреждение

Иногда запутанная сборка и все ее зависимости загружаются в память для выполнения.Используйте безопасную среду песочницы, если вы подозреваете, что сборка или сборки являются вредоносными.

No related posts.