brezeer 发表于 2015-11-21 19:30

CLRInjection - 通用托管注入(.net)

本帖最后由 brezeer 于 2015-11-21 19:35 编辑

就在我昨天刚刚转发了CLRMonitor工具后,在其作者微博上,今天上午又刚刚发布了一款软件叫做CLRInjection - 通用托管注入。
地址:http://www.cnblogs.com/chengchen/p/4983663.html

以下内容来自官网:
软件简介:这款软件可以将任意托管DLL用插件的形式,注入到正在运行中的.net托管程序集中去。提供插件编写的SDK和参考源代码。用户可以自己编写插件扩展注入功能。
下载地址:http://pan.baidu.com/s/1i3Jb5FR
使用说明: http://files.cnblogs.com/files/chengchen/CLRInjection_Guide.pdf
常见问题:http://files.cnblogs.com/files/chengchen/CLRInjection_AQ.pdf

目前系统自带两个插件:
1.PropertyView
简介:这个插件就是原来的超级灰色按钮克星。可以显示当前所有窗体的属性,用户可以随时修改。
这个插件已经开源,可以在”程序根目录\SDK\Plugin_Source\PropertyView 找到完整代码。

2.InjectReflector
简介:这是一个可以查看程序集中的类、方法、属性、IL代码的插件,使用者甚至可以Dump已经加载进来的程序集。因为这个插件已经被注入进目标程序,因此可以躲避部分目标程序特定检测和加密。
用户可以在内存中反编译程序集,甚至可以自己dump程序集,系统会自动尝试修复被加密的程序集,但不能保证所有dump后的程序集可以完美运行。一些程序会在内存中使用byte[]数组的形式加载程序集,这样的程序集也可以从内存中直接dump下来,这个dump功能适用于整体加密的DOTNET程序。

以下内容来自我的个人点评:
DOTNET托管注入,其实多少年前就被广泛应用了,作者这个软件没有多少新意,唯一亮点在于可以让用户写插件,而最大亮点在于官方的第二个插件InjectReflector提供程序集的Dump功能。实测中,对于整体加密的DOTNET程序集有很好的解密功能,但是基于方法体加密的比如Reactor,完全没有效果。{:1_937:}


看看下面这个帖子:【.NET】UnPackMe 第四季--难度 ★ Themida v2.3.3.0最大保护
http://www.52pojie.cn/thread-346335-1-1.html


很多人都Unpack了,但是没有介绍任何方法,这其实对交流无益啊,因为Unpack并不是为了得到结果,我们需要的是分享更多的步骤。
我们现在用这个新软件试一试。打开CLR_Injection.exe和UnpackMe

将CLR Injection的箭靶拖动到UnpckMe上。很快就会弹出一个插件选择框:

我们选择第一个插件点击确定按钮。这是系统会弹出一个当前程序列表的对话框。

我们选中程序集,并点击鼠标右键选择 “转存(Dump)”
选择好保存路径后,我们成功转存了一个只有8.5kb的脱壳后程序(原程序1.32MB)我本来都准备好修复工具准备对入口点什么之类的进行修复,可是当我直接运行这个dump后的程序,惊人的发现,程序可以直接运行了。说明作者在这个插件中做了一些修复工作。
我们再用Reflector来看看dump后的结果:

完美dump啊,无需修复。感觉针对整体加密的程序还是不错的。


本来想按照作者提供的SDK自己写个插件的,但是想了好久,也不知道写啥好,或许可以写个内存补丁或者WPF界面监控之类的。算了,太累。















Hmily 发表于 2015-11-23 11:31

绿茶姐姐好久不见,又发神器,.NET脱壳机啊!

pnccm 发表于 2015-11-23 11:42

收藏备用.感谢分享

brezeer 发表于 2015-11-23 20:35

Hmily 发表于 2015-11-23 11:31
绿茶姐姐好久不见,又发神器,.NET脱壳机啊!

H大{:1_912:} ,好久不见。
实测脱壳效果一般,很多加密壳dump不下来。对于那种多个dll文件打包在一起的,或内存中生成的DLL效果比较好。

Some 发表于 2015-11-24 09:53

如果作者加上de4dot的部分功能 脱壳效果应该会很好~

uuwhat 发表于 2015-11-26 13:06

神器啊,

zhaohj 发表于 2015-12-6 10:07

以前一直对.net打包的PE无能为力,有这个神器太爽了。无视沙盘!

courageous 发表于 2015-12-13 21:25

好工具必须赞

tysan 发表于 2016-5-9 11:26

试了好几个系统版本,只在某个版本XP下成功是成功了。其他的都报读取内存错误。而在之前有用过这边工具的旧版本,那个时候只能注入看IL,没想到现在都这么强大了,赞。

XXTK 发表于 2016-9-8 14:37

感谢分享神器
页: [1] 2
查看完整版本: CLRInjection - 通用托管注入(.net)