网站 › 『逆向资源区』 › [.Net脱壳机]ExtremeDumper v2.3 by wwh1004

wwh1004 发表于 2018-3-18 17:24

[.Net脱壳机]ExtremeDumper v2.3 by wwh1004

本帖最后由 wwh1004 于 2018-7-9 12:37 编辑

ExtremeDumper整合了MegaDumper的核心，添加了64位支持，还加入了MetaDumper（先把远程进程中.net模块复制到当前进程，再修复损坏的元数据目录和部分元数据，最后dnlib写入文件）

界面：

主界面：启动了clr的进程标绿了

查看模块列表，这里可以看到所有模块

查看dll导出函数


说明：

选项->转储方式中的MegaDumper引用了MegaDumper的代码
选项->转储方式中的MetaDumper纯原创，可以Dump加了Themida，WinLicence，Safengine Shielden等壳程序（测试过的，别的没测试，不太清楚）
目前测试的是：
对于.Net Reactor使用MegaDumper核心进行Dump
对于Themida，WinLicence，Safengine Shielden使用MetaDumper核心进行Dump

使用方式：
1.启动加壳后的程序
2.启动ExtremeDumper（32位壳启动32位的，64位壳启动64位的）
3.尝试这3种Dump方式：在主界面直接右键转储进程（选项->转储方式 选择 MegaDumper）|在主界面右键查看模块列表，在新弹出的窗口中转储指定模块（选项->转储方式 选择 MegaDumper）|在主界面右键查看模块列表，在新弹出的窗口中转储指定模块（选项->转储方式 选择 MetaDumper）
4.Dump文件不能启动的，用我的AssemblyRebuilder重建下程序集。

v2.3:
直接Dump失败后再修复元数据
自定义Dump文件名称
修复误删文件错误
修复无法识别可用于注入的DllMain
更新dnlib
链接: https://ci.appveyor.com/project/wwh1004/extremedumper 百度云：https://pan.baidu.com/s/1W2W3jvp4w7gTru_E8-L7pg 密码: q728
v2.0:
项目重构，转储方式变为MetaDumper和MegaDumper（一字之差但是原理完全不同）
加入英语和中文（自动选择）
修复许多bug
链接: https://ci.appveyor.com/project/wwh1004/extremedumper 百度云：https://pan.baidu.com/s/1FgV4wD2rATCO5N4HYvZsfw 密码: qyaz
v1.0.0.2:
修复Cor20头Flags设置错误导致部分情况下使用InjectingDumper转储的程序集无法启动
链接: https://pan.baidu.com/s/1vG2ks8RMnLRXfCcSpOTIeQ 密码: cefr
v1.0.0.1:
链接: https://pan.baidu.com/s/1AheoaMRwVbmjze7N5vLH8w 密码: 2pav

源码 https://github.com/wwh1004/ExtremeDumper

toudo 发表于 2018-3-18 18:23

很强大学习了感谢大神

wwh1004 发表于 2018-9-15 20:14

hunterhb 发表于 2018-9-15 13:38
连接挂了，请补！

认真看贴。
v2.3:
直接Dump失败后再修复元数据
自定义Dump文件名称
修复误删文件错误
修复无法识别可用于注入的DllMain
更新dnlib
链接: https://ci.appveyor.com/project/wwh1004/extremedumper 百度云：https://pan.baidu.com/s/1W2W3jvp4w7gTru_E8-L7pg 密码: q728
ci的链接 https://ci.appveyor.com/project/wwh1004/extremedumper 肯定不会挂的

chinasmu 发表于 2018-3-18 18:50

好工具！
工具党的福音啊{:1_927:}

boyulin 发表于 2018-3-18 19:03

本帖最后由 boyulin 于 2018-3-18 19:10 编辑

請教一下大大
剛試了一下 DUMP 無法開啟
想請問.Net MetaData Header的Flags 改為0
這步驟能詳細說明一下嗎 不知道 在DNSPY 查看哪邊能看到

JJ11840131 发表于 2018-3-18 20:01

哇 学习了

romobin 发表于 2018-3-18 22:36

boyulin 发表于 2018-3-18 19:03
請教一下大大
剛試了一下 DUMP 無法開啟
想請問.Net MetaData Header的Flags 改為0


https://www.52pojie.cn/forum.php?mod=image&aid=1081019&size=300x300&key=62ade87715af3e6d&nocache=yes&type=fixnone

boyulin 发表于 2018-3-18 22:49

romobin 发表于 2018-3-18 22:36


感謝教學 不過改了依然 開不起來
估計 還有加別的東西檔案 變很小

老_王 发表于 2018-3-19 07:54

感谢楼主分享，支持一下

3yu3 发表于 2018-3-19 09:20

这个工具强大了。膜拜。。

sakujo 发表于 2018-3-19 09:29

学习了 很感谢

查看完整版本: [.Net脱壳机]ExtremeDumper v2.3 by wwh1004