用于转储恶意软件进程内存的Windows逆向工程命令行工具又回来了。这无疑给恶意软件研究人员带来了极大的便利,因为他们经常需要将解压后的样本或注入的代码导入到硬盘中进行分析,因此非常需要IDA等静态分析工具。用于将恶意软件PE文件从内存转储到硬盘(用于分析)的Windows工具ProcessDump可用于32位和64位操作系统,该工具使用积极的导入重建方法并允许区域(在本例中为PE标头和导入表自动生成)。ProcessDump支持创建和使用干净的哈希数据库,因此诸如kernel32.dll之类的干净文件将逃脱转储。更新内容1.修复内存区出现的会导致ProcessDump挂掉的bug;2、修复64位Windows下部分模块找不到的bug;3、现在Verbose模式增加了更多的调试信息。示例转储来自所有进程的所有模块(忽略已知的干净模块):pd64.exe-system转储来自特定进程标识符的所有模块:pd64.exe-pid0x18A按进程名称转储所有模块:pd64.exe-p.chrome。创建一个干净的哈希数据库。这些哈希值将用于从上面的命令中排除一些模块:pd64.exe-dbgenDumpcodefromaspecificaddressinPIDOxla3:pd64.exe-pid0x1a3-a0xffb4000生成一个带有header和两个的PE文件函数输入表的文件(32位和64位)可以加载到IDA中进行分析:notepad_exe_x64_hidden_??FFB40000.exenotepad_exe_x86_hidden_??FFB40000.exe下载Windows32%64的可执行文件:pd_latest(100.32KB)也可以使用VisualStudioBuildone你自己,点击这里
