Shed - .NET 运行时检查器使用教程

1. 项目介绍

Shed 是一个用于检查 .NET 运行时的应用程序，旨在提取程序运行时的有用信息。它可以用于检查恶意软件，以便在恶意软件执行后获取其存储的信息的初步概览。Shed 的主要功能包括：

• 将 .NET 程序集注入到远程进程（包括托管和非托管进程）。
• 提取托管堆中存储的所有对象。
• 打印内存中存储的字符串。
• 以 JSON 格式保存堆的快照，以便后续处理。
• 转储内存中加载的所有模块。

2. 项目快速启动

2.1 下载和安装

首先，克隆 Shed 项目到本地：

git clone https://github.com/enkomio/shed.git
cd shed

2.2 编译项目

如果你已经安装了 Visual Studio，可以直接运行 build.bat 批处理文件进行编译。编译完成后，会在 build 文件夹中生成一个 zip 文件。

2.3 使用 Shed

Shed 是一个命令行工具，可以通过以下命令查看所有可用选项：

shed.exe --help

2.3.1 检查已运行的应用程序

要检查一个已运行的进程，需要传递进程的 PID 给 Shed：

shed.exe --pid 2356

2.3.2 检查二进制文件

要检查一个二进制文件，Shed 需要执行该文件并附加到其运行时进行检查：

shed.exe --exe malware.exe

你还可以指定在挂起进程之前等待的时间（以毫秒为单位），以便程序有足够的时间初始化其属性：

shed.exe --timeout 2000 --exe malware.exe

2.3.3 注入程序集到远程进程

Shed 可以通过 ManagedInjector 库将 .NET 程序集注入到远程进程中。要实现这一点，需要指定进程的 PID 和要注入的 exe 文件。注入程序集后，可以通过调用特定方法来激活它。

例如，要将 InjectedAssembly 注入到 PID 为 1234 的进程中，可以运行以下命令：

shed.exe --pid 1234 --exe InjectedAssembly.dll --inject

使用 --method 选项可以指定要从 InjectedAssembly.exe 调用的方法。

3. 应用案例和最佳实践

3.1 恶意软件分析

Shed 可以用于分析恶意软件，提取其在内存中存储的信息，帮助安全研究人员了解恶意软件的行为和目的。

3.2 调试和诊断

开发人员可以使用 Shed 来调试和诊断 .NET 应用程序，特别是在处理内存泄漏或性能问题时。

3.3 安全审计

安全审计人员可以使用 Shed 来检查应用程序的运行时状态，确保其符合安全标准。

4. 典型生态项目

4.1 ManagedInjector

ManagedInjector 是 Shed 依赖的一个库，用于将 .NET 程序集注入到远程进程中。它提供了强大的注入功能，是 Shed 的核心组件之一。

4.2 MDbg

MDbg 是一个 .NET 调试器，可以与 Shed 结合使用，提供更深入的调试和分析功能。

4.3 JSON.NET

Shed 使用 JSON.NET 库来处理 JSON 格式的数据，特别是在保存堆快照时。

通过以上模块的介绍和使用指南，你可以快速上手并充分利用 Shed 的功能。