dnSpy คืออะไร? วิธีติดตั้งและใช้งานเบื้องต้น ภาษาไทย#

ถ้าคุณเพิ่งเริ่มสนใจ Reverse Engineering โปรแกรมที่เขียนด้วย .NET หรือ C# คำแรกที่จะได้ยินบ่อยมากคือ dnSpy — แต่มันคืออะไร ดาวน์โหลดที่ไหน และใช้งานยังไง?

บทความนี้อธิบายทุกอย่างตั้งแต่ต้นเป็นภาษาไทย เหมาะสำหรับทั้งมือใหม่ที่ยังไม่เคยใช้ และคนที่รู้จัก dnSpy อยู่แล้วแต่อยากเข้าใจหลักการทำงานให้ลึกขึ้น

dnSpy คืออะไร?#

dnSpy คือโปรแกรม decompiler และ debugger แบบ open-source สำหรับไฟล์ .NET assembly โดยเฉพาะ สามารถ:

Decompile ไฟล์ .exe หรือ .dll ที่เขียนด้วย C# หรือ VB.NET กลับมาเป็น source code ที่อ่านได้
Debug โปรแกรมแบบ step-by-step โดยไม่ต้องมี source code ต้นฉบับ
Edit และ Recompile โค้ดได้โดยตรงภายใน dnSpy เลย

พูดง่ายๆ คือถ้าเห็นไฟล์ .exe ที่เขียนด้วย .NET และอยากรู้ว่าข้างในทำงานอย่างไร dnSpy คือเครื่องมือแรกที่ต้องหยิบขึ้นมา

ทำไม .NET ถึง decompile ได้ง่าย?#

โปรแกรมที่เขียนด้วย C# หรือ VB.NET จะถูก compile เป็น CIL (Common Intermediate Language) ซึ่งเป็น bytecode กลาง ไม่ใช่ machine code โดยตรง CIL นี้เองที่ทำให้การ decompile กลับมาเป็น source code ที่อ่านได้ค่อนข้างแม่นยำ ต่างจากโปรแกรม native (C/C++) ที่ decompile ยากกว่ามาก

dnSpy vs dnSpyEx — ใช้ตัวไหนดี?#

dnSpy ตัวดั้งเดิมหยุดพัฒนาไปแล้ว ปัจจุบันมี fork ที่ยังพัฒนาต่อเนื่องชื่อว่า dnSpyEx ซึ่ง community ดูแลอยู่ สำหรับผู้เริ่มต้นแนะนำให้ใช้ dnSpyEx เพราะ:

รองรับ .NET 6, 7, 8 และ .NET Core
bug fix และ feature ใหม่อยู่เรื่อยๆ
หน้าตาและวิธีใช้เหมือนกันทุกอย่าง

วิธีดาวน์โหลดและติดตั้ง dnSpy (dnSpyEx)#

ขั้นตอนที่ 1 — ดาวน์โหลด#

ไปที่ GitHub releases ของ dnSpyEx: https://github.com/dnSpyEx/dnSpy/releases

เลือกไฟล์ที่ต้องการ:

ไฟล์	ใช้เมื่อ
`dnSpy-net-win64.zip`	Windows 64-bit (แนะนำ)
`dnSpy-net-win32.zip`	Windows 32-bit

ขั้นตอนที่ 2 — แตกไฟล์#

dnSpy ไม่ต้องติดตั้ง แค่แตก .zip แล้วเปิดไฟล์ dnSpy.exe ได้เลย ไม่มี installer ให้กวนใจ

ขั้นตอนที่ 3 — เปิดใช้งาน#

ดับเบิลคลิก dnSpy.exe จะเห็นหน้าตาโปรแกรมเปล่าๆ พร้อมใช้งาน

หมายเหตุ: บางครั้ง Windows SmartScreen จะแจ้งเตือน เพราะไฟล์มาจากนอก Microsoft Store ให้กด “More info” → “Run anyway” ได้เลย

ส่วนประกอบหลักของ dnSpy#

ก่อนใช้งาน ทำความรู้จักหน้าตาของโปรแกรมก่อน:

1
┌─────────────────────────────────────────────────┐
2
│  Menu Bar: File / Edit / View / Debug / Help     │
3
├───────────────┬─────────────────────────────────┤
4
│  Assembly     │                                 │
5
│  Explorer     │    Code View (Decompiled Code)  │
6
│  (ซ้าย)      │    (กลาง-ขวา)                  │
7
│               │                                 │
8
│  แสดง         │    แสดง source code ที่          │
9
│  structure    │    decompile แล้ว               │
10
│  ของไฟล์      │                                 │
11
├───────────────┴─────────────────────────────────┤
12
│  Output / Debug Console (ล่าง)                  │
13
└─────────────────────────────────────────────────┘

Assembly Explorer (แผงซ้าย): แสดง namespace, class, method ทั้งหมดในไฟล์ที่เปิด คล้าย Solution Explorer ใน Visual Studio

Code View (แผงกลาง): แสดงโค้ด C# ที่ decompile มาจาก assembly เลือก method ไหนจาก Explorer ก็แสดงโค้ดของ method นั้นทันที

วิธีใช้งาน dnSpy เบื้องต้น#

1. เปิดไฟล์ .exe หรือ .dll#

มี 2 วิธี:

ลากไฟล์มาวางใน Assembly Explorer
ไปที่ File → Open แล้วเลือกไฟล์

หลังจากเปิด dnSpy จะวิเคราะห์ไฟล์และแสดง structure ทั้งหมดใน Assembly Explorer ทางซ้าย

2. ดู Decompiled Code#

คลิกขยาย namespace → class → method ใน Assembly Explorer โค้ด C# จะปรากฏในแผงกลางทันที

ตัวอย่างสิ่งที่จะเห็น:

1
// dnSpy จะ decompile bytecode กลับมาเป็นโค้ดในลักษณะนี้
2
private bool CheckLicense(string key)
3
{
4
    return key == "SECRET-KEY-1234";
5
}

3. ค้นหา Class หรือ Method#

กด Ctrl+Shift+K เพื่อเปิด search bar ค้นหา class หรือ method ที่ต้องการโดยพิมพ์ชื่อได้เลย มีประโยชน์มากเมื่อไฟล์มี class จำนวนมาก

4. Analyze — ดูว่า method นี้ถูกเรียกจากที่ไหน#

คลิกขวาที่ method ใดก็ได้ → Analyze dnSpy จะแสดงว่า method นี้:

ถูกเรียกจากที่ไหน (Used By)
เรียก method อื่นอะไรบ้าง (Uses)

feature นี้มีประโยชน์มากสำหรับการ trace logic ของโปรแกรม

5. Search ทั้ง Assembly#

Edit → Search Assemblies (Ctrl+F) ใช้ค้นหา string, method name, หรือ type ทั่วทั้งไฟล์

Debug โปรแกรมด้วย dnSpy (ไม่ต้องมี source code)#

นี่คือ feature ที่ทำให้ dnSpy แตกต่างจาก decompiler ทั่วไป — มันสามารถ set breakpoint และ debug แบบ step-by-step ได้โดยไม่ต้องมี source code ต้นฉบับ

วิธีตั้ง Breakpoint#

เปิดไฟล์และเลือก method ที่ต้องการ
คลิกที่หมายเลขบรรทัดทางซ้ายเพื่อตั้ง breakpoint (จุดสีแดง)
ไปที่ Debug → Start Debugging (F5)
เลือก executable ที่จะ debug
โปรแกรมจะหยุดที่ breakpoint ที่ตั้งไว้

การ Step Through โค้ด#

เมื่อโปรแกรมหยุดที่ breakpoint แล้ว:

คำสั่ง	Shortcut	ความหมาย
Step Over	F10	ทำบรรทัดนี้และไปบรรทัดถัดไป
Step Into	F11	เข้าไปใน method ที่เรียก
Step Out	Shift+F11	ออกจาก method ปัจจุบัน
Continue	F5	รันต่อจนถึง breakpoint ถัดไป

ในขณะที่ debug อยู่ dnSpy จะแสดงค่าของ variable ทุกตัวใน scope ปัจจุบัน ทำให้เห็น runtime value จริงๆ ได้เลย

แก้ไขโค้ดและ Recompile ด้วย dnSpy#

dnSpy ไม่ได้แค่ดูโค้ด แต่แก้ไขได้ด้วย:

คลิกขวาที่ method ที่อยากแก้ → Edit Method (C#)
แก้ไขโค้ดในกล่องที่ปรากฏ
กด Compile เพื่อ compile โค้ดใหม่
ไปที่ File → Save Module เพื่อบันทึก assembly ที่แก้ไขแล้ว

ใช้ feature นี้กับโปรแกรมที่คุณมีสิทธิ์แก้ไข เช่น โปรแกรมของตัวเอง หรือ CTF challenge เท่านั้น

Tips และ Tricks ที่ควรรู้#

เปลี่ยน decompiler language: dnSpy รองรับ C# และ IL (CIL bytecode) ไปที่ View → Decompiler เพื่อสลับ เมื่อดู IL จะเห็นโค้ดในระดับต่ำลงอีกชั้น

Theme สีเข้ม: ไปที่ View → Themes เลือก Dark theme ใช้งานสบายตากว่า

Export source code: File → Export to Project จะ export โค้ดที่ decompile แล้วออกมาเป็น .csproj ที่เปิดได้ใน Visual Studio

FAQ — คำถามที่พบบ่อย#

Q: dnSpy ใช้งานฟรีไหม? ฟรีทั้งหมด เป็น open-source ภายใต้ GPLv3 license ดาวน์โหลดได้จาก GitHub

Q: dnSpy รองรับ .NET 6/7/8 ไหม? dnSpy ตัวดั้งเดิมไม่รองรับ แต่ dnSpyEx ซึ่งเป็น fork ที่ยังพัฒนาอยู่รองรับ .NET 6 ขึ้นไปแล้ว

Q: ใช้กับ Unity game ได้ไหม? ได้ เกม Unity ที่ใช้ C# scripting จะมีไฟล์ Assembly-CSharp.dll อยู่ใน <game folder>/Managed/ เปิดไฟล์นี้ใน dnSpy ได้เลย

Q: dnSpy ต่างจาก ILSpy ยังไง? ทั้งคู่เป็น .NET decompiler เหมือนกัน แต่ dnSpy มี debugger ในตัวซึ่ง ILSpy ไม่มี ถ้าต้องการแค่ดูโค้ดทั้งสองใช้ได้พอๆ กัน แต่ถ้าต้องการ debug ด้วย dnSpy เหนือกว่าชัดเจน

Q: .NET obfuscation ทำให้ dnSpy ใช้งานไม่ได้ไหม? โปรแกรมที่ผ่านการ obfuscate จะทำให้โค้ดที่ decompile ออกมาอ่านยากขึ้น เช่น ชื่อ method และ variable จะถูกแทนด้วยชื่อไม่มีความหมาย แต่ dnSpy ยัง decompile โครงสร้างออกมาได้ มีเครื่องมือช่วย de-obfuscate เพิ่มเติมอย่าง de4dot

สรุป#

dnSpy (หรือ dnSpyEx) คือเครื่องมือที่ขาดไม่ได้สำหรับ .NET Reverse Engineering ไม่ว่าจะใช้สำหรับ security research, CTF, หรือทำความเข้าใจ codebase ที่ไม่มี source code มันทำงานได้ดีมาก ติดตั้งง่าย และฟรีทั้งหมด

ถ้าเข้าใจพื้นฐาน dnSpy แล้ว ขั้นตอนถัดไปคือการเรียนรู้เรื่อง .NET assembly structure, IL opcodes, และเทคนิค patching ต่างๆ ซึ่งทำให้ reverse engineering ได้ลึกและมีประสิทธิภาพมากขึ้น

อยากเรียน Reverse Engineering .NET อย่างจริงจัง?#

ถ้าบทความนี้จุดประกายความสนใจ คอร์ส Reverse Engineering .NET บน 0x01code.me สอนทุกอย่างเป็นภาษาไทย ตั้งแต่พื้นฐาน .NET assembly ไปจนถึงเทคนิค patching และ bypass protection จริงๆ

สิ่งที่คุณจะได้เรียน:

โครงสร้าง .NET Assembly และ CIL bytecode
ใช้ dnSpy decompile, debug, และแก้ไขโปรแกรม
เทคนิค patch และ bypass ระบบ license
การ de-obfuscate โปรแกรมที่ถูกซ่อน logic
สอนภาษาไทย พร้อม workshop แบบ hands-on

👉 ดูรายละเอียดคอร์ส Reverse Engineering .NET