我们的试镜团队正在检查客户的ERP应用程序(.net)。在检查了源代码之后,我们也通过反混淆检查供应商dll,并在运行过程中检查该进程。
我们发现了一个在运行时加载并执行的程序集。我们找不到有关此组件的更多信息。我们假设这个dll是从字节加载并附加到appdomain。此字节可以位于其中一个资源中,也可以位于IsolatedStorage中。我们真的不知道如何抓住这个dll,所以我们可以尝试反编译它。
一些信息: - 使用进程资源管理器,我们能够发现从应用程序加载的几个DLL路径。 .net程序集和路径列表。但是对于这个程序集,没有路径,只有他的程序集名称。
有任何方法可以提取'这个dll来自内存并保存吗? 我们能做些什么来至少知道关于这个集会的更多信息?
谢谢, 柯南。
答案 0 :(得分:0)
互联网上有一个名为Megadumper的工具,由Code Cracker提供......它是一个内存转储工具。您只需运行该程序,然后在Mega Dumper中右键单击该进程并选择.net转储。进程正在使用的所有文件都将从内存中转储到启动进程的dumps文件夹中。 只需确保以管理员身份运行Mega Dumper。
答案 1 :(得分:0)
通过de4dot运行模糊文件。然后用dnspy打开清理过的。然后,您将更好地看到反混淆的源代码。