国人骄傲 - 全中文.NET小工具 - CLR Monitor
本帖最后由 brezeer 于 2015-11-21 00:23 编辑我这几天在博客园里闲逛,发现了一款全中文界面的名为 CLRMonitor的工具。说实话看他博客真没啥人气......
官网介绍:http://www.cnblogs.com/chengchen/p/4967230.html
下载地址:http://files.cnblogs.com/files/chengchen/CLRMonitor.zip
顾名思义,肯定和监控DOTNET的有关。
官方介绍太简单如下:
*实现跟踪CLR内部执行过程,定位当前程序执行的命名空间以及方法名等信息。
*支持Windows XP/2003/Vista/7/8/10
*支持DOTNET2.0/3.0/3.5/4.0/4.5/4.6
*支持x86和x64平台
看介绍感觉也没啥用啊?于是我仔细想了一下, 发现一个惊人的用途:可以快速找到注册或者爆破的地方啊。当软件被混淆后,名字全部被改变,很难找到关键的地方啊,就算反混淆也不一定能还原到最初的名字,有的软件很大,类很多,太难定位了。有了这样一个工具就好多了。
看看我是这样用的。看看这个CrackMe http://www.52pojie.cn/thread-413192-1-1.html
被混淆的啥也不认识了。要静态分析比登天还要难吧.....。
现在用CLRMonitor试一试,点击“浏览” 选择 Crackme文件。再点击“开始” 按钮。很快就有了监控结果了。
结果太多,不利于查看, 我们再点击“清空”按钮把结果全部清空。然后再CrackMe的框中随便输入点什么。
看了一些新的方法被jit,然后我们点击第一个结果右键,选择复制。
䌓❔ᙀ�럋삤::һ⽴뺱꽰胴� - void (Object )t32 float32))[] unsigned int32int32)int8 unsigned int8)
注意::符号。
前半部分是类名称: 䌓❔ᙀ�럋삤
后半部分是方法名称: һ⽴뺱꽰胴�
我们直接上reflect搜索这个方法。怎么样很快找到了吧。
现在就是分析IL的能力了,这个不是本文重点,本文重点是如何利用CLRMonitor 快速定位破解位置。
经过我的测试,这个工具唯一不足的地方就是性能还有待提高,实战中,大型程序会加载很慢,因此建议先把JITCompilationStarted 的勾去掉,然后再需要爆破的位置再勾选上,这样可以节约加载时间。
我还发现MethodEnter的事件非常有趣,这个和JITCompilationStarted有点类似,但是JITCompilationStarted 只会触发一次,而MethodEnter会被多次触发,再关键点处,值得一试。
liangwx717 发表于 2015-11-26 10:40
请问下这个对脱壳有用么?
这个不是脱壳用的,而是用于快速找到需要破解的地方。比如你到注册界面,开启监控,点击注册相关的按钮,那么会监控到和注册相关的类和方法,再去分析这些类和方法,会大量较少的静态分析工作的时间。 虚伪人生 发表于 2015-12-19 17:42
恕我没文化,这不是乱码吗
对于破解而言,脱壳不一定是必须的,返混淆也不一定是必须的。看原始Crackme的帖子,在乱码下,还是可以轻松能读出注册码。 大神 膜拜之。。。。。。。。。。。。。。。。 呵呵,,2个小号,建议封杀. ..............双手合十 谢谢分享:loveliness:下载试试 全中文.NET小工具 看起来不错,下来试试 感谢提供!{:301_1003:} {:301_1009:}不会用。 看起来很厉害的样子!
页:
[1]
2