文件名称:Process-Dump:Windows工具,用于将恶意软件PE文件从内存转储回磁盘以进行分析
文件大小:136KB
文件格式:ZIP
更新时间:2024-06-12 15:20:40
C
流程转储 Process Dump是Windows反向工程命令行工具,用于将恶意软件内存组件转储回磁盘以进行分析。 通常,恶意软件文件在执行之前会被打包和混淆,以避免AV扫描仪,但是,在执行这些文件时,它们通常会解压缩或将干净版本的恶意软件代码注入内存中。 恶意软件研究人员在分析恶意软件时的一项常见任务是,将解压缩后的代码从内存中转回磁盘,以使用AV产品进行扫描或使用静态分析工具(例如IDA)进行分析。 进程转储适用于Windows 32和64位操作系统,可以转储特定进程或当前正在运行的所有进程中的内存组件。 Process Dump支持创建和使用干净哈希数据库,因此可以跳过所有干净文件(例如kernel32.dll)的转储。 它的主要功能包括: 转储来自特定进程或所有进程的代码。 查找并转储未在进程中正确加载的隐藏模块。 查找并转储松散的代码块,即使它们与PE文件没有关联。 它为
【文件预览】:
Process-Dump-master
----pd()
--------module_list.cpp(3KB)
--------stdafx.cpp(289B)
--------export_list.cpp(7KB)
--------hash.h(4KB)
--------dump_process.cpp(28KB)
--------pd.vcxproj.filters(4KB)
--------stdafx.h(320B)
--------pe_imports.cpp(8KB)
--------pd.h(0B)
--------pe_exports.cpp(123B)
--------close_watcher.h(545B)
--------pe_exports.h(91B)
--------targetver.h(765B)
--------pd.vcxproj(15KB)
--------simple.cpp(2KB)
--------terminate_monitor_hook.cpp(16KB)
--------hash.cpp(7KB)
--------dump_process.h(2KB)
--------pe_imports.h(2KB)
--------close_watcher.cpp(4KB)
--------pe_hash_database.h(1KB)
--------pd.cpp(34KB)
--------module_list.h(1KB)
--------pe_header.h(4KB)
--------export_list.h(2KB)
--------utils.h(2KB)
--------work_queue.h(3KB)
--------pe_header.cpp(79KB)
--------simple.h(1KB)
--------stream_wrapper.h(13KB)
--------DynArray.h(4KB)
--------nmd_assembly.h(361KB)
--------pe_hash_database.cpp(15KB)
--------dirent.h(20KB)
--------pd.vcproj(12KB)
--------ReadMe.txt(1KB)
--------terminate_monitor_hook.h(892B)
----LICENSE(1KB)
----pd.sln(2KB)
----.gitignore(6KB)
----README.md(11KB)