正如前面提到的DotNet 程序的脱壳和普通PE文件的脱壳是有密切关系的。
传统PE文件dump大部分都是进程外dump,这里我们介绍的DotNet程序集的脱壳
使用进程内dump。
所以第一步就是注入问题,如何让我们的程序在目标进程内运行?
传统的win32 注入dll,相信大家都熟悉了吧,
得益于C++/CLI的特性,我们能依靠传统的方式注入我们的程序到目标进程中。
用VS2005新建一个mfc dll,然后在工程属性里面开启 clr支持,这样在这个dll就能使用 CLR 了。
而这个dll又能像传统dll一样被注入到目标进程中。
注入实现原理请参考这里
http://bbs.pediy.com/showthread.php?s=&threadid=21123
ShellCode的另外一种玩法(远程线程注入ShellCode)
注入启动之后就会显示我们的dumper 对话框了。
这里我用反射枚举出当前进程中所有的程序,将其路径显示在列表中。
界面可以参考前一篇帖子的贴图。