[.Net脱壳机]ExtremeDumper v2.3 by wwh1004

wwh1004 · 发表于 2018-3-18 17:24

本帖最后由 wwh1004 于 2018-7-9 12:37 编辑

ExtremeDumper整合了MegaDumper的核心，添加了64位支持，还加入了MetaDumper（先把远程进程中.net模块复制到当前进程，再修复损坏的元数据目录和部分元数据，最后dnlib写入文件）

界面：

主界面：启动了clr的进程标绿了

查看模块列表，这里可以看到所有模块

查看dll导出函数

说明：

选项->转储方式中的MegaDumper引用了MegaDumper的代码
选项->转储方式中的MetaDumper纯原创，可以Dump加了ThemIDA，WinLicence，Safengine Shielden等壳程序（测试过的，别的没测试，不太清楚）
目前测试的是：
对于.Net Reactor使用MegaDumper核心进行Dump
对于Themida，WinLicence，Safengine Shielden使用MetaDumper核心进行Dump

使用方式：

1.启动加壳后的程序
2.启动ExtremeDumper（32位壳启动32位的，64位壳启动64位的）
3.尝试这3种Dump方式：在主界面直接右键转储进程（选项->转储方式选择 MegaDumper）|在主界面右键查看模块列表，在新弹出的窗口中转储指定模块（选项->转储方式选择 MegaDumper）|在主界面右键查看模块列表，在新弹出的窗口中转储指定模块（选项->转储方式选择 MetaDumper）
4.Dump文件不能启动的，用我的AssemblyRebuilder重建下程序集。

v2.3:
直接Dump失败后再修复元数据
自定义Dump文件名称
修复误删文件错误
修复无法识别可用于注入的DllMain
更新dnlib
链接: https://ci.appveyor.com/project/wwh1004/extremedumper 百度云：https://pan.baidu.com/s/1W2W3jvp4w7gTru_E8-L7pg 密码: q728
v2.0:
项目重构，转储方式变为MetaDumper和MegaDumper（一字之差但是原理完全不同）
加入英语和中文（自动选择）
修复许多bug
链接: https://ci.appveyor.com/project/wwh1004/extremedumper 百度云：https://pan.baidu.com/s/1FgV4wD2rATCO5N4HYvZsfw 密码: qyaz
v1.0.0.2:
修复Cor20头Flags设置错误导致部分情况下使用InjectingDumper转储的程序集无法启动
链接: https://pan.baidu.com/s/1vG2ks8RMnLRXfCcSpOTIeQ 密码: cefr
v1.0.0.1:
链接: https://pan.baidu.com/s/1AheoaMRwVbmjze7N5vLH8w 密码: 2pav

源码 https://github.com/wwh1004/ExtremeDumper

toudo · 发表于 2018-3-18 18:23

很强大学习了感谢大神

wwh1004 · 发表于 2018-9-15 20:14

hunterhb 发表于 2018-9-15 13:38
连接挂了，请补！

认真看贴。

v2.3:
直接Dump失败后再修复元数据
自定义Dump文件名称
修复误删文件错误
修复无法识别可用于注入的DllMain
更新dnlib
链接: https://ci.appveyor.com/project/wwh1004/extremedumper 百度云：https://pan.baidu.com/s/1W2W3jvp4w7gTru_E8-L7pg 密码: q728

ci的链接 https://ci.appveyor.com/project/wwh1004/extremedumper 肯定不会挂的