恶意软件研究者的福音:PROCESS DUMP v1.5正式发布

安全 数据安全
用于导出恶意软件进程内存的Windows逆向工程命令行工具再次回归了。

用于导出恶意软件进程内存的Windows逆向工程命令行工具再次回归了。

恶意软件研究者的福音:PROCESS DUMP v1.5正式发布

这无疑为恶意软件研究者带来巨大便利,因为他们经常要将脱壳后的样本或者注入代码导入到硬盘进行分析,因此非常需要IDA这类的静态分析工具。

恶意软件研究者的福音:PROCESS DUMP v1.5正式发布

用于从内存中dump恶意软件PE文件到硬盘中的Windows工具(用于分析)

Process Dump适用于32和64位的操作系统,工具采用了一种侵略性导入重建方法,并允许在没有PE headers的区域进行(在这种情况下PE headers以及导入表会自动生成)。Process Dump支持clean-hash数据库的创建及使用,因此例如kernel32.dll这样的干净文件会躲过转储。

更新内容

1、修复了出现在内存区域、会导致Process Dump挂掉Bug;

2、修复了在64位Windows中一些模块无法找到的Bug;

3、现在Verbose模式增加了更多调试信息。

利用实例

从所有进程中转储所有模块(忽略已知的干净模块):

pd64.exe -system

从特定进程标识符中转储所有模块:

pd64.exe -pid 0x18A

通过进程名转储所有模块:

pd64.exe -p .chrome.

建立clean-hash数据库。这些hash值将被用于从以上命令中排除一些模块:

pd64.exe -db gen

从一个在PID Oxla3中的特定地址转储代码:

pd64.exe -pid 0x1a3 -a 0xffb4000

生成带有PE文件头和函数输入表的两个文件(32位和64位),可加载到IDA中进行分析:

notepad_exe_x64_hidden_FFB40000.exe
notepad_exe_x86_hidden_FFB40000.exe

下载用于Windows32%64位的执行文件:pd_latest(100.32KB)

或者你可以使用Visual Studio自己建一个,点击这里

责任编辑:蓝雨泪 来源: FreeBuf
相关推荐

2024-04-23 15:01:48

2022-03-28 08:41:27

恶意软件勒索软件网络攻击

2009-11-02 11:25:40

LinuxUbuntu 9.10操作系统

2024-09-09 12:19:31

2010-05-13 09:07:13

JRuby

2009-04-28 11:18:07

Android 1.5SDKGoogle

2011-12-05 14:55:37

傲游Pad版V1.5

2013-10-09 09:27:58

2016-02-24 22:26:04

2011-03-21 15:56:00

iBeshmet

2013-03-04 09:30:38

ClojureJVM

2013-02-28 09:33:58

DjangoPython

2011-09-08 13:11:14

框架

2020-02-18 10:11:11

机器学习技术人工智能

2011-01-05 09:36:19

VirtualBSD

2019-03-10 07:49:44

Process Hac监控软件恶意软件

2024-04-18 11:59:40

Kubernetes云原生

2021-02-21 00:18:47

恶意软件研究职业技术

2009-02-13 10:10:15

360安全浏览器1.5360安全正式版
点赞
收藏

51CTO技术栈公众号