RedTeam 整合术：ILMerge 助力 .NET 工具集打包

在实战红队渗透任务中，如何将工具隐匿、最小化痕迹、减少依赖、提高部署成功率，是提升作战效率的关键环节。尤其是在需要对目标环境投递自定义 .NET 工具时，过多的 DLL 文件不仅容易引起注意，也可能在传输或落地过程中丢失依赖、触发告警，极大降低了有效打点率。为此，本文介绍一款被红队频繁使用的打包整合工具 —— ILMerge，其能够将多个 .NET 程序集合并为单个 EXE 或 DLL 文件，是构建“自解式、免依赖、便于混淆”的红队武器的核心手段之一。

更详细知识点已收录于新书《.NET安全攻防指南》第18.4节，并且有完整的介绍，如下图所示。

ILMerge，全称 Intermediate Language Merger ，是一个由微软研究院发布的命令行工具，支持将多个 .NET 程序集合并为一个单独的可执行程序或库文件。

1.1 获取 ILMerge

推荐通过 NuGet 获取最新版 ILMerge 工具，具体命令如下所示。

Install-Package ilmerge -Version 3.0.29

实际上我们应该从https://www.nuget.org/packages/ilmerge/获取，其GitHub地址为https://github.com/dotnet/ILMerge，包含了较为详细的文档。或者直接在VisualStudio中使用NuGet包管理下载安装即可。

1.2 红队使用场景

自开发工具打包发布，比如 C2 客户端、内存加载器；将第三方组件如 Newtonsoft.Json、SharpSploit 封装到 payload 中；实现 Dropper、Loader 的单文件化打包后整体混淆，规避静态查杀。

安装后，可以在当前的VisualStudio项目package文件夹下找到对应的可执行文件ILMerge.exe，如图所示。

1.3 常用参数说明

ILMerge 是一个命令行工具，需要注意指定.Net版本，其命令行参数比较复杂，我们直接在命令提示符下运行，从输出的内容上可见命令参数及使用说明，如下图所示。

工具提供了很多的命令参数，这里仅对合并程序集时用到的参数做个简要说明，如表所示。

以下以一个名为 LineDDA.exe 的程序为例，与 Newtonsoft.Json.dll 等依赖项合并为一个新程序，合并命令如下所示。

ILMerge.exe /log /ndebug 
/targetplatform:4.0,"C:WindowsMicrosoft.NETFramework64v4.0.30319"
/out:"D:testnew.exe"
"D:HistoryDebugLineDDA.exe"
"D:HistoryDebugNewtonsoft.Json.dll"
"D:HistoryDebugSystem.Diagnostics.DiagnosticSource.dll"

运行后，会在指定路径生成一个新的 new.exe 文件，其体积约为 796KB。合并成功后，可以像普通程序一样执行，并且包含了原先所有依赖的功能。

对生成后的new.exe文件进行功能性完整测试，尝试执行一段编码后的shellcode，符合预期成功启动了本地计算器，如下图所示。

接着，我们可以使用dnspy.exe进行逆向分析，查看合并之后的new.exe文件，在工具的左侧资源管理器中出现Newtonsoft.Json命名空间，说明已经将Newtonsoft.Json.dll成功嵌入到可执行文件，如下图所示。

另外ILMerge还有一个GUI版本，但研究发现合并后生成的可执行文件，运行时抛出异常错误，有读者感兴趣的话可以自行深入研究，如下图所示。

综上，对红队而言 ILMerge 是隐藏 .NET 工具的第一步。通过合并 DLL、封装依赖、压缩结构，不仅提高了部署效率，更大幅增强了对抗静态查杀与人工分析的能力。文章涉及的工具已打包在星球，感兴趣的朋友可以加入自取。

以上相关的知识点已收录于新书《.NET安全攻防指南》，全书共计25章，总计1010页，分为上下册，横跨.NET Web代码审计与红队渗透两大领域。

上册深入剖析.NET Web安全审计的核心技术，帮助读者掌握漏洞发现与修复的精髓；下册则聚焦于.NET逆向工程与攻防对抗的实战技巧，揭秘最新的对抗策略与技术方法。