الفريق العربي للهندسة العكسية
?how unpack crackme (.net) packed by net reactor - نسخة قابلة للطباعة

+- الفريق العربي للهندسة العكسية (https://www.at4re.net/f)
+-- قسم : منتديات الهندسة العكسية - Reverse Engineering Forums (https://www.at4re.net/f/forum-4.html)
+--- قسم : الأسئلة والإستفسارات، حلول المشاكل و تبادل الخبرات - Expert Exchange Newbie Questions Answers (https://www.at4re.net/f/forum-36.html)
+--- الموضوع : ?how unpack crackme (.net) packed by net reactor (/thread-885.html)

?how unpack crackme (.net) packed by net reactor - muhmath2002 - 02-06-2019

السلام عليكم اخواني
هل يعرف احدكم طريقة فك ضغط ملف تنفيذي مصنوع بالدوت نت وعليه حماية NecroBit IL Code Protection
حيث ان هذه الحماية عنيدة ولا يوجد مقالات في النت للتخلص منها 
 NecroBit is a powerful protection technology which stops decompilation. NecroBit replaces the CIL code within methods with encrypted code. This way it is not possible to decompile/reverse engineer your method source code.
هذه الحماية جزء من برنامج الحماية NET Reactor.
https://www.eziriz.com/dotnet_reactor.htm
لا يوجد اداة نافعة مع هذه الحماية لغاية الان 
ارفقت لكم الكراك مي مضغوط بهذه الحماية بهدف التعلم فقط
ما نريدة هو كيفية فك ضغط الكراك مي 
والله يبارك فيكم جمعيا

RE: ?how unpack crackme (.net) packed by net reactor - Gu-sung18 - 02-06-2019

وعليكم السلام
للاسف لدي لدي اي خبرة مع الدوت نت Smile ونعم هذه الحماية عنيدة بعد ان قرأت عنها
على العموم المهندس العكسي Antonio 's4tan' Parata لديه مقالة ممتازة يشرح فيها التخلص من هذه الحماية من اجل تحليل البرنامج الخبيث  Ploutus.D 
إقتباس :Ploutus.D is also protected with an obfuscator which encrypts the method bodies and decrypts them only when necessary. The protector used is .NET Reactor ([7]) as also pointed out in a presentation by Karspersky ([8]). This particular protection is called NecroBit Protection
 
رابط المقالة
http://antonioparata.blogspot.com/2018/02/analyzing-nasty-net-protection-of.html

اترك النقاش الان لمن لدية خبرة مع الدوت نت Smile

RE: ?how unpack crackme (.net) packed by net reactor - muhmath2002 - 02-06-2019

(02-06-2019, 08:58 PM)Gu-sung18 كتب : وعليكم السلام
للاسف لدي لدي اي خبرة مع الدوت نت Smile ونعم هذه الحماية عنيدة بعد ان قرأت عنها
على العموم المهندس العكسي Antonio 's4tan' Parata لديه مقالة ممتازة يشرح فيها التخلص من هذه الحماية من اجل تحليل البرنامج الخبيث  Ploutus.D 
إقتباس :Ploutus.D is also protected with an obfuscator which encrypts the method bodies and decrypts them only when necessary. The protector used is .NET Reactor ([7]) as also pointed out in a presentation by Karspersky ([8]). This particular protection is called NecroBit Protection
 
رابط المقالة
http://antonioparata.blogspot.com/2018/02/analyzing-nasty-net-protection-of.html

اترك النقاش الان لمن لدية خبرة مع الدوت نت Smile
اخي انا اشكرك على الاهتمام في الموضوع
بخصوص المقالة أنا قرأتها سابقا من خلال البحث وطبقت ما جاء فيها على ملف تنفيذي ولكن محاولة فك الضغط عن الملف فشلت لان الملف بحاجة الى اصلاح والمشكلة الاكبر عدم القدرة على اظهار النصوص نحتاج الى مهندس عكسي خبير 
قمت بمراسلة المهندس العكسي Antonio 's4tan' Parata على تويتر لكنه لم يرد لغاية الان
الموجود حاليا في النت اداة للتخلص من هذه الحماية لكنها قديمة من اصدار فريق reteam
REZiriz is a unpacker for Eziriz .NET Reactor > v3.1.x.x
http://www.reteam.org/tools/tf33.zip
http://www.reteam.org/tools/ts33.gif
تقبل الله طاعتكم
وكل عام وانتم بالف خير

RE: ?how unpack crackme (.net) packed by net reactor - TeRcO - 04-06-2019

منا ومنكم اخي
صراحةً لم اوفق كثيرا في فك ضغطه لكن باستخدام العجوز olly
كما يقول الاخ 7afar/inj3ctor توصلت