Ingeniería Inversa en .NET ?

Iniciado por Art3, 24 Enero 2010, 00:13 AM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario

Art3

24 Enero 2010, 00:13 AM
Hola hace tiempo que no hago nada de "Ingeniería Inversa" (unos 4 años) pero tengo un programa escrito en .NET (framework) al que me gustaria ver como funciona, lo abro con olly pero no me funciona  :rolleyes:

si alguien me peude dar alguna idea de algun debugger a usar o alguanos tutoriales sobre este lenguaje, me ayudaria mucho.

RDG me dice: C#/Visual Basic .NET

Gracias.

Amerikano|Cls

#1
24 Enero 2010, 00:23 AM
Usa Reflector para este tipo de programas: http://reflector.red-gate.com/download.aspx




Mi blog:
http://amerikanocls.blogspot.com

Art3

#2
24 Enero 2010, 03:58 AM
Gracias me puse a investigar y por ahroa estoy tebajando con Reflector y DotNET Tracer.

aunque ahora me parece que esta seria la parte importante:

Código [Seleccionar]
Public Shared Sub ()
   ' This item is obfuscated and can not be translated.
End Sub


El programa valida user y pass conectandose a una web, veo que despues de hacer un llamado a Sytem.web.dll llama a esa funcion con nombre raro (de echo son varias)

poniedo el reflector en IL me muestra esto:

Código [Seleccionar]
.method public hidebysig static void () cil managed
{
   .maxstack 8
   L_0000: br.s L_000f
   L_0002: br.s L_0016
   L_0004: ldc.i4.2
   L_0005: bne.un.s L_000e
   L_0007: br.s L_001d
   L_0009: stsfld class . .::
   L_000e: ret
   L_000f: call class [mscorlib]System.OperatingSystem [mscorlib]System.Environment::get_OSVersion()
   L_0014: br.s L_0002
   L_0016: callvirt instance valuetype [mscorlib]System.PlatformID [mscorlib]System.OperatingSystem::get_Platform()
   L_001b: br.s L_0004
   L_001d: newobj instance void .::.ctor()
   L_0022: br.s L_0009
}



es un tanto incompresible para mi necesito estudiar que es exactamente IL.

Gracias.

Amerikano|Cls

#3
24 Enero 2010, 04:18 AM
IL es el Intermediate Lenguaje es algo asi como los opcodes que interpreta la maquina virtual del .NET Framework para realizar las instrucciones, Te dejo un link que lo explica mejor.

http://www.ajlopez.net/ReferenciaVe.php?Id=17

Salu2




Mi blog:
http://amerikanocls.blogspot.com

MCKSys Argentina

#4
25 Enero 2010, 06:31 AM Ultima modificación: 25 Enero 2010, 06:36 AM por MCKSys Argentina
Fíjate que el código se puede seguir aún estando ofuscado.

Por ej, en el ejemplo que pusiste, los br.s son lo mismo que un jmp en ASM. Osea, lo que hace es transferir la ejecución a la etiqueta que tiene como parámetro.

Con Reflexil (plugin de Reflector) podrás seguir perfectamente el código, pues te dice que hace cada opcode ;)

El ejemplo "traducido" quedaría:
Código [Seleccionar]

.method public hidebysig static void () cil managed
{
    .maxstack 8
    L_000f: call class [mscorlib]System.OperatingSystem [mscorlib]System.Environment::get_OSVersion()
    L_0016: callvirt instance valuetype [mscorlib]System.PlatformID [mscorlib]System.OperatingSystem::get_Platform()
    L_0004: ldc.i4.2
    L_0005: bne.un.s L_000e
    L_001d: newobj instance void .::.ctor()
    L_0009: stsfld class . .::
    L_000e: ret   
}


Por supuesto, las "etiquetas" cambiarán, pero ya puedes usar Reflexil para des-ofuscar el código  ;D

Saludos!
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

Reglas del foro - FAQ Ing. Inversa - Buscador del foro
Imprimir
Ir Arriba Páginas1
Acciones del Usuario