Modulo protegido

catalinilla · 17 Enero 2014, 15:40 PM

Hola, buenas tardes a todos, vereis estoy intentando abrir una dll de .net con el Il dasm y me dice "Modulo protegido: no se puede desensamblar".
No se si habra alguna manera de poder desprotegerla, si algun maestro me echa una mano le estaria eternamente agradecido.
Un salu2

MCKSys Argentina · 17 Enero 2014, 20:34 PM

Hola!

Que protector tiene? Que herramienta(s) usaste (aparte de la mencionada)?

Saludos!

PD: Te recomiendo leer el FAQ del subforo.

catalinilla · 18 Enero 2014, 11:05 AM

Gracias por contestar, he intentado pasar el rpg packer detector pero no me funciona en mi pc, no se por q y he usado el net reflector y este si lo abre pero aqui no lo puedo modificar.
Un salud2

.:UND3R:. · 18 Enero 2014, 20:44 PM

Para poder editar dentro de Net Reflector, requieres de un plugins gratuito llamado reflexil, en caso que no quieras depender de un software de pago junto con un plugins, puedes optar por SAE (Simple Assambly Explorer), el cual permite la modificación de de lenguaje MSIL/CIL

Saludos

apuromafo CLS · 19 Enero 2014, 04:57 AM

antes de comenzar a modificar programas en .net, es ideal conocer un poco del tema

1) xonfirmar si hay algun ofuscador o packer de por medio
2) confirmar si hay o no strong....
3) LUEGO confirmar si estas editando en el framework correcto y en la instruccion correcta

si bien puedes usar SAE, reflector, es ideal usar herramientas como de4dot - .NET Deobfuscator and Unpacker , antes (https://bitbucket.org/0xd4d/de4dot)

saludos Apuromafo

catalinilla · 19 Enero 2014, 15:31 PM

Muchas gracias a todos por la ayuda, mañana me pondre manos a la obra y ya os contare como ma ha ido.
Muchas gracias otra vez.
Un salu2

catalinilla · 20 Enero 2014, 16:56 PM

Hola de nuevo, despues de analizarlo con DotNet Id me dice esto:

MaxToCode      100%
.Net Reactor      0%
Rustemsoft Skater      0%
Goliath Obfuscator      0%
PE Compact      0%
Spices Obfuscator      0%
Themida       0%
Dotfuscator      0%
Xenocode      0%
Smart Assembly      0%
CliSecure       0%
Phoenix Protector      0%
CodeVeil       0%

Por cierto el SAE no soy capaz de encontrarlo ni vivo ni muerto.
Un salud2

.:UND3R:. · 20 Enero 2014, 17:19 PM

Cita de: catalinilla en 20 Enero 2014, 16:56 PM
Hola de nuevo, despues de analizarlo con DotNet Id me dice esto:

MaxToCode      100%
.Net Reactor      0%
Rustemsoft Skater      0%
Goliath Obfuscator      0%
PE Compact      0%
Spices Obfuscator      0%
Themida       0%
Dotfuscator      0%
Xenocode      0%
Smart Assembly      0%
CliSecure       0%
Phoenix Protector      0%
CodeVeil       0%

Por cierto el SAE no soy capaz de encontrarlo ni vivo ni muerto.
Un salud2

Al parecer SAE fue eliminado por derechos de copyright, habrá que buscar links alternativos, pero googleando a simple vista, los link apuntan a la página eliminada.

apuromafo CLS · 20 Enero 2014, 17:51 PM

maxtocode unpacker-> RE-Max (buscalo en google)

datos un poco mas técnicos
http://tuts4you.com/download.php?view.1609

lo ideal segun eso, luego de dumped, es reparar el GUID heap, luego reparar el entrypoint, mas o menos eso es lo base en algunas búsquedas de google, ahora bien

recuerda el enlace anterior de de4dot, este soporta maxtocode, deberás arrastrar tu packed, al gui o exe del programa de4dot, antes de hacer cualquier cosa..

catalinilla · 20 Enero 2014, 18:15 PM

Muchas gracias Apuromafo por la info, mirare a ver que soy capaz de hacer.
Un salu2