用于導(dǎo)出惡意軟件進(jìn)程內(nèi)存的Windows逆向工程命令行工具再次回歸了。

這無疑為惡意軟件研究者帶來巨大便利，因為他們經(jīng)常要將脫殼后的樣本或者注入代碼導(dǎo)入到硬盤進(jìn)行分析，因此非常需要IDA這類的靜態(tài)分析工具。

用于從內(nèi)存中dump惡意軟件PE文件到硬盤中的Windows工具(用于分析)

Process Dump適用于32和64位的操作系統(tǒng)，工具采用了一種侵略性導(dǎo)入重建方法，并允許在沒有PE headers的區(qū)域進(jìn)行(在這種情況下PE headers以及導(dǎo)入表會自動生成)。Process Dump支持clean-hash數(shù)據(jù)庫的創(chuàng)建及使用，因此例如kernel32.dll這樣的干凈文件會躲過轉(zhuǎn)儲。

更新內(nèi)容

1、修復(fù)了出現(xiàn)在內(nèi)存區(qū)域、會導(dǎo)致Process Dump掛掉Bug;

2、修復(fù)了在64位Windows中一些模塊無法找到的Bug;

3、現(xiàn)在Verbose模式增加了更多調(diào)試信息。

利用實例

從所有進(jìn)程中轉(zhuǎn)儲所有模塊(忽略已知的干凈模塊)：

pd64.exe -system

從特定進(jìn)程標(biāo)識符中轉(zhuǎn)儲所有模塊：

pd64.exe -pid 0x18A

通過進(jìn)程名轉(zhuǎn)儲所有模塊：

pd64.exe -p .chrome.

建立clean-hash數(shù)據(jù)庫。這些hash值將被用于從以上命令中排除一些模塊：

pd64.exe -db gen

從一個在PID Oxla3中的特定地址轉(zhuǎn)儲代碼：

pd64.exe -pid 0x1a3 -a 0xffb4000

生成帶有PE文件頭和函數(shù)輸入表的兩個文件(32位和64位)，可加載到IDA中進(jìn)行分析：

notepad_exe_x64_hidden_FFB40000.exe
notepad_exe_x86_hidden_FFB40000.exe

下載用于Windows32%64位的執(zhí)行文件：pd_latest(100.32KB)

或者你可以使用Visual Studio自己建一個，點擊這里