CLRInjection - 通用托管注入(.net)

brezeer

就在我昨天刚刚转发了CLRMonitor工具后，在其作者微博上，今天上午又刚刚发布了一款软件叫做CLRInjection - 通用托管注入。
地址：http://www.cnblogs.com/chengchen/p/4983663.html

以下内容来自官网：
软件简介：这款软件可以将任意托管DLL用插件的形式，注入到正在运行中的.net托管程序集中去。提供插件编写的SDK和参考源代码。用户可以自己编写插件扩展注入功能。
下载地址：http://pan.baidu.com/s/1i3Jb5FR
使用说明： http://files.cnblogs.com/files/chengchen/CLRInjection_Guide.pdf
常见问题：http://files.cnblogs.com/files/chengchen/CLRInjection_AQ.pdf

目前系统自带两个插件：
1.PropertyView
简介：这个插件就是原来的超级灰色按钮克星。可以显示当前所有窗体的属性，用户可以随时修改。
这个插件已经开源，可以在”程序根目录\SDK\Plugin_Source\PropertyView 找到完整代码。

2.InjectReflector
简介：这是一个可以查看程序集中的类、方法、属性、IL代码的插件，使用者甚至可以Dump已经加载进来的程序集。因为这个插件已经被注入进目标程序，因此可以躲避部分目标程序特定检测和加密。
用户可以在内存中反编译程序集，甚至可以自己dump程序集，系统会自动尝试修复被加密的程序集，但不能保证所有dump后的程序集可以完美运行。一些程序会在内存中使用byte[]数组的形式加载程序集，这样的程序集也可以从内存中直接dump下来，这个dump功能适用于整体加密的DOTNET程序。

以下内容来自我的个人点评：
DOTNET托管注入，其实多少年前就被广泛应用了，作者这个软件没有多少新意，唯一亮点在于可以让用户写插件，而最大亮点在于官方的第二个插件InjectReflector提供程序集的Dump功能。实测中，对于整体加密的DOTNET程序集有很好的解密功能，但是基于方法体加密的比如Reactor，完全没有效果。


看看下面这个帖子：【.NET】UnPackMe 第四季--难度 ★ ThemIDA v2.3.3.0最大保护
http://www.52pojie.cn/thread-346335-1-1.html


很多人都Unpack了，但是没有介绍任何方法，这其实对交流无益啊，因为Unpack并不是为了得到结果，我们需要的是分享更多的步骤。
我们现在用这个新软件试一试。打开CLR_Injection.exe和UnpackMe

将CLR Injection的箭靶拖动到UnpckMe上。很快就会弹出一个插件选择框：

我们选择第一个插件点击确定按钮。这是系统会弹出一个当前程序列表的对话框。

我们选中程序集，并点击鼠标右键选择 “转存（Dump）”
选择好保存路径后，我们成功转存了一个只有8.5kb的脱壳后程序（原程序1.32MB）我本来都准备好修复工具准备对入口点什么之类的进行修复，可是当我直接运行这个dump后的程序，惊人的发现，程序可以直接运行了。说明作者在这个插件中做了一些修复工作。
我们再用Reflector来看看dump后的结果：

完美dump啊，无需修复。感觉针对整体加密的程序还是不错的。


本来想按照作者提供的SDK自己写个插件的，但是想了好久，也不知道写啥好，或许可以写个内存补丁或者WPF界面监控之类的。算了，太累。

Hmily

绿茶姐姐好久不见，又发神器，.NET脱壳机啊！

pnccm

收藏备用.感谢分享

brezeer

Hmily 发表于 2015-11-23 11:31
绿茶姐姐好久不见，又发神器，.NET脱壳机啊！

H大{:1_912:} ，好久不见。
实测脱壳效果一般，很多加密壳dump不下来。对于那种多个dll文件打包在一起的，或内存中生成的DLL效果比较好。

Some

如果作者加上de4dot的部分功能 脱壳效果应该会很好~

uuwhat

神器啊，

zhaohj

以前一直对.net打包的PE无能为力，有这个神器太爽了。无视沙盘！

courageous

好工具必须赞

tysan

试了好几个系统版本，只在某个版本XP下成功是成功了。其他的都报读取内存错误。而在之前有用过这边工具的旧版本，那个时候只能注入看IL，没想到现在都这么强大了，赞。

XXTK

感谢分享神器