国人骄傲 - 全中文.NET小工具 - CLR Monitor

brezeer

我这几天在博客园里闲逛，发现了一款全中文界面的名为 CLRMonitor的工具。说实话看他博客真没啥人气......
官网介绍：http://www.cnblogs.com/chengchen/p/4967230.html
下载地址：http://files.cnblogs.com/files/chengchen/CLRMonitor.zip
顾名思义，肯定和监控DOTNET的有关。

官方介绍太简单如下：
*实现跟踪CLR内部执行过程，定位当前程序执行的命名空间以及方法名等信息。
*支持Windows XP/2003/Vista/7/8/10
*支持DOTNET2.0/3.0/3.5/4.0/4.5/4.6
*支持x86和x64平台

看介绍感觉也没啥用啊？于是我仔细想了一下， 发现一个惊人的用途：可以快速找到注册或者爆破的地方啊。当软件被混淆后，名字全部被改变，很难找到关键的地方啊，就算反混淆也不一定能还原到最初的名字，有的软件很大，类很多，太难定位了。有了这样一个工具就好多了。
看看我是这样用的。看看这个CrackMe http://www.52pojie.cn/thread-413192-1-1.html
被混淆的啥也不认识了。要静态分析比登天还要难吧.....。


现在用CLRMonitor试一试，点击“浏览” 选择 Crackme文件。再点击“开始” 按钮。很快就有了监控结果了。



结果太多，不利于查看， 我们再点击“清空”按钮把结果全部清空。然后再CrackMe的框中随便输入点什么。

看了一些新的方法被jit，然后我们点击第一个结果右键，选择复制。

䌓❔ᙀ�럋삤::һ⽴໬뺱꽰胴� - void (Object )t32 float32))[] unsigned int32  int32)int8 unsigned int8)

注意::符号。
前半部分是类名称： 䌓❔ᙀ�럋삤
后半部分是方法名称： һ⽴໬뺱꽰胴�

我们直接上reflect搜索这个方法。怎么样很快找到了吧。


现在就是分析IL的能力了，这个不是本文重点，本文重点是如何利用CLRMonitor 快速定位破解位置。

经过我的测试，这个工具唯一不足的地方就是性能还有待提高，实战中，大型程序会加载很慢，因此建议先把JITCompilationStarted 的勾去掉，然后再需要爆破的位置再勾选上，这样可以节约加载时间。
我还发现MethodEnter的事件非常有趣，这个和JITCompilationStarted有点类似，但是JITCompilationStarted 只会触发一次，而MethodEnter会被多次触发，再关键点处，值得一试。

brezeer

liangwx717 发表于 2015-11-26 10:40
请问下这个对脱壳有用么?

这个不是脱壳用的，而是用于快速找到需要破解的地方。比如你到注册界面，开启监控，点击注册相关的按钮，那么会监控到和注册相关的类和方法，再去分析这些类和方法，会大量较少的静态分析工作的时间。

brezeer

虚伪人生 发表于 2015-12-19 17:42
恕我没文化，这不是乱码吗

对于破解而言，脱壳不一定是必须的，返混淆也不一定是必须的。看原始Crackme的帖子，在乱码下，还是可以轻松能读出注册码。

qingyf

大神 膜拜之。。。。。。。。。。。。。。。。

小飞鸟

呵呵,,2个小号,建议封杀.

夏沫梦影

..............双手合十

ym19

谢谢分享下载试试

lbw680720

全中文.NET小工具

gq060

看起来不错，下来试试

夏520

感谢提供！

你始终很美

不会用。

Miracle-紫狼

看起来很厉害的样子！