Proses Dump v1.5 dirilis; Jendela alat untuk membuang malware file PE dari memori
Oleh
chmood
Proses Dump v1.5 dirilis; Jendela alat untuk membuang malware file PE dari memori.
Jendela reverse-engineering alat baris perintah untuk membuang komponen memori malware kembali ke disk untuk analisis. Ini adalah tugas bersama bagi para peneliti malware yang perlu membuang dibongkar atau disuntikkan kode kembali ke disk untuk analisis dengan alat analisis statis seperti IDA.
Jendela reverse-engineering alat baris perintah untuk membuang komponen memori malware kembali ke disk untuk analisis. Ini adalah tugas bersama bagi para peneliti malware yang perlu membuang dibongkar atau disuntikkan kode kembali ke disk untuk analisis dengan alat analisis statis seperti IDA.
Jendela alat untuk membuang malware file PE dari memori kembali ke disk untuk analisis
Proses Dump bekerja untuk 32 dan 64 sistem operasi, menggunakan pendekatan rekonstruksi impor agresif, dan memungkinkan untuk pembuangan daerah tanpa PE header - di header ini kasus PE dan tabel impor secara otomatis akan dihasilkan. Proses Dump mendukung penciptaan dan penggunaan database bersih-hash, sehingga dumping file bersih seperti kernel32.dll dapat dilewati
Contoh Penggunaan:
Dump all modules from all processes (ignoring known clean modules):pd64.exe -systemDump all modules from a specific process identifier:pd64.exe -pid 0x18ADump all modules by process name:pd64.exe -p .chrome.Build clean-hash database. These hashes will be used to exclude modules from dumping with the above commands:pd64.exe -db genDump code from a specific address in PID 0x1a3:pd64.exe -pid 0x1a3 -a 0xffb4000 Generates two files (32 and 64 bit) that can be loaded for analysis in IDA with generated PE headers and generated import table: notepad_exe_x64_hidden_FFB40000.exe notepad_exe_x86_hidden_FFB40000.exe
Download
executable file for Windows 32&64 bit : pd_latest(100.32
KB)
or you can build itself using Visual Studio here
Source : https://github.com/glmcdona
or you can build itself using Visual Studio here
Source : https://github.com/glmcdona
تعليقات