古风,君子以泽,千年殇

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

惡意軟件研究者的福音：PROCESSDUMPv1.5正式發(fā)布

用于導(dǎo)出惡意軟件進(jìn)程內(nèi)存的Windows逆向工程命令行工具再次回歸了。

成都創(chuàng)新互聯(lián)公司于2013年開始，是專業(yè)互聯(lián)網(wǎng)技術(shù)服務(wù)公司，擁有項(xiàng)目成都做網(wǎng)站、成都網(wǎng)站設(shè)計(jì)網(wǎng)站策劃，項(xiàng)目實(shí)施與項(xiàng)目整合能力。我們以讓每一個(gè)夢想脫穎而出為使命，1280元千陽做網(wǎng)站,已為上家服務(wù),為千陽各地企業(yè)和個(gè)人服務(wù),聯(lián)系電話:13518219792

這無疑為惡意軟件研究者帶來巨大便利，因?yàn)樗麄兘?jīng)常要將脫殼后的樣本或者注入代碼導(dǎo)入到硬盤進(jìn)行分析，因此非常需要IDA這類的靜態(tài)分析工具。

用于從內(nèi)存中dump惡意軟件PE文件到硬盤中的Windows工具(用于分析)

Process Dump適用于32和64位的操作系統(tǒng)，工具采用了一種侵略性導(dǎo)入重建方法，并允許在沒有PE headers的區(qū)域進(jìn)行(在這種情況下PE headers以及導(dǎo)入表會(huì)自動(dòng)生成)。Process Dump支持clean-hash數(shù)據(jù)庫的創(chuàng)建及使用，因此例如kernel32.dll這樣的干凈文件會(huì)躲過轉(zhuǎn)儲(chǔ)。

更新內(nèi)容

1、修復(fù)了出現(xiàn)在內(nèi)存區(qū)域、會(huì)導(dǎo)致Process Dump掛掉Bug;

2、修復(fù)了在64位Windows中一些模塊無法找到的Bug;

3、現(xiàn)在Verbose模式增加了更多調(diào)試信息。

利用實(shí)例

從所有進(jìn)程中轉(zhuǎn)儲(chǔ)所有模塊(忽略已知的干凈模塊)：

pd64.exe -system

從特定進(jìn)程標(biāo)識符中轉(zhuǎn)儲(chǔ)所有模塊：

pd64.exe -pid 0x18A

通過進(jìn)程名轉(zhuǎn)儲(chǔ)所有模塊：

pd64.exe -p .chrome.

建立clean-hash數(shù)據(jù)庫。這些hash值將被用于從以上命令中排除一些模塊：

pd64.exe -db gen

從一個(gè)在PID Oxla3中的特定地址轉(zhuǎn)儲(chǔ)代碼：

pd64.exe -pid 0x1a3 -a 0xffb4000

生成帶有PE文件頭和函數(shù)輸入表的兩個(gè)文件(32位和64位)，可加載到IDA中進(jìn)行分析：

notepad_exe_x64_hidden_FFB40000.exe
notepad_exe_x86_hidden_FFB40000.exe

下載用于Windows32%64位的執(zhí)行文件：pd_latest(100.32KB)

或者你可以使用Visual Studio自己建一個(gè)，點(diǎn)擊這里

新聞標(biāo)題：惡意軟件研究者的福音：PROCESSDUMPv1.5正式發(fā)布
文章出自：http://m.fisionsoft.com.cn/article/cossijj.html

新聞中心

其他資訊