Proses Dump v1.5 dirilis; Jendela alat untuk membuang malware file PE dari memori

chmood




Proses Dump v1.5 dirilis; Jendela alat untuk membuang malware file PE dari memori.
Jendela reverse-engineering alat baris perintah untuk membuang komponen memori malware kembali ke disk untuk analisis. Ini adalah tugas bersama bagi para peneliti malware yang perlu membuang dibongkar atau disuntikkan kode kembali ke disk untuk analisis dengan alat analisis statis seperti IDA.



Jendela alat untuk membuang malware file PE dari memori kembali ke disk untuk analisis



Proses Dump bekerja untuk 32 dan 64 sistem operasi, menggunakan pendekatan rekonstruksi impor agresif, dan memungkinkan untuk pembuangan daerah tanpa PE header - di header ini kasus PE dan tabel impor secara otomatis akan dihasilkan. Proses Dump mendukung penciptaan dan penggunaan database bersih-hash, sehingga dumping file bersih seperti kernel32.dll dapat dilewati
Contoh Penggunaan:


Dump all modules from all processes (ignoring known clean modules):

Β Β Β Β pd64.exe -system

Dump all modules from a specific process identifier:

Β Β Β Β pd64.exe -pid 0x18A

Dump all modules by process name:

Β Β Β Β pd64.exe -p .chrome.

Build clean-hash database. These hashes will be used to exclude modules from dumping with the above commands:

Β Β Β Β pd64.exe -db gen

Dump code from a specific address in PID 0x1a3:

Β Β Β Β pd64.exe -pid 0x1a3 -a 0xffb4000 Generates two files (32 and 64 bit) that can be loaded for analysis in IDA with generated PE headers and generated import table: notepad_exe_x64_hidden_FFB40000.exe notepad_exe_x86_hidden_FFB40000.exe

Download executable file for Windows 32&64 bit : pd_latest(100.32 KB)
or you can build itself using Visual Studio here
Source : https://github.com/glmcdona


Komentar