前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >如何使用Process Dump将恶意软件PE文件从内存导出至磁盘

如何使用Process Dump将恶意软件PE文件从内存导出至磁盘

作者头像
FB客服
发布2021-10-11 16:11:19
2.4K0
发布2021-10-11 16:11:19
举报
文章被收录于专栏:FreeBuf

关于Process-Dump

Process Dump是一款Windows逆向工程分析工具,该工具基于命令行接口实现,可以帮助广大研究人员从内存中将恶意软件PE文件导出至磁盘并进行分析。一般来说,在执行恶意软件文件之前,攻击者都会对其进行打包和模糊处理,以避免AV扫描。但是,在执行这些文件时,它们通常会在内存中解包或注入反混淆版本的恶意软件代码。恶意软件研究人员在分析恶意软件时的一项常见任务是将这些未打包的代码从内存转储回磁盘,以便使用AV产品进行扫描或使用IDA等静态分析工具进行分析。

进程转储适用于Windows 32和64位操作系统,可以从特定进程或当前运行的所有进程转储内存组件。Process Dump支持创建和使用良性文件哈希数据库,因此可以跳过所有的良性文件。

功能介绍

1.从特定进程或所有进程转储代码; 2.查找并转储进程中未正确加载的隐藏模块; 3.查找和转储松散代码块,即使它们不与PE文件关联; 4.重构转储信息; 5.可以在关闭转储监视器模式(’-closemon’)下运行,在该模式下,进程将在终止前暂停并转储; 6.支持多线程,因此当你在转储所有正在运行的进程时,它的运行速度将非常快; 7.可以生成一个良性文件哈希数据库,在计算机感染恶意软件之前生成此文件,以便在进程转储时仅转储新的恶意软件组件。

工具安装

我们可以下载最新版本的Process-Dump预编译发布版本,下载地址如下:

代码语言:javascript
复制
http://www.split-code.com/files/pd_v2_1.zip

在使用该工具之前,我们还需要安装“Microsoft Visual C++ Redistributable for Visual Studio 2015”,下载地址如下:

代码语言:javascript
复制
https://www.microsoft.com/en-ca/download/details.aspx?id=48145

编译源代码

该工具适用于Visual Studio 2019的免费社区版本,我们可以使用下列命令将该项目源码克隆至本地,并在VS2019中打开项目,然后进行项目编译:

代码语言:javascript
复制
git clone https://github.com/glmcdona/Process-Dump.git

工具使用样例

从系统上的所有进程转储所有模块和隐藏代码块(忽略已知的良性模块):

代码语言:javascript
复制
pd64.exe -system

在终端监视器模式下运行,直到按下Ctrl + C键之前,进程转储将在终止之前转储任何进程:

代码语言:javascript
复制
pd64.exe -closemon

从特定进程标识符转储所有模块和隐藏代码块:

代码语言:javascript
复制
pd64.exe -pid 0x18A

按进程名称转储所有模块和隐藏代码块:

代码语言:javascript
复制
pd64.exe -p .*chrome.*

构建良性文件哈希数据库,用于排除使用上述命令转储模块中的良性代码:

代码语言:javascript
复制
pd64.exe -db gen

沙箱使用样例

如果你正在运行一个自动化沙箱,或手动反恶意软件研究环境,我建议广大研究人员以下列方式运行Process-Dump,所有的命令都需要以管理员权限运行:

首先,打开你的干净环境,并构建良性文件哈希数据库。然后运行下列命令:

代码语言:javascript
复制
pd64.exe -db gen
pd64 -db genquick

启动Process-Dump终端监控器,此时该工具将在后台转储恶意软件所使用的全部中间进程信息:

代码语言:javascript
复制
pd64.exe -closemon

现在,运行恶意软件文件,并观察恶意软件安装行为。当你准备从内存转储正在运行的恶意软件信息时,可直接运行下列命令:

代码语言:javascript
复制
pd64.exe -system

所有转储的组件都将存储至pd64.exe所在的工作目录中,我们可以使用“-o”参数修改输出文件路径。

项目地址

Process-Dump:点击阅读原文

参考资料:

http://split-code.com/processdump.html

https://www.microsoft.com/en-ca/download/details.aspx?id=48145

http://www.split-code.com/

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2021-10-08,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 关于Process-Dump
  • 功能介绍
  • 工具安装
    • 编译源代码
    • 工具使用样例
    • 沙箱使用样例
    • 项目地址
    相关产品与服务
    数据库
    云数据库为企业提供了完善的关系型数据库、非关系型数据库、分析型数据库和数据库生态工具。您可以通过产品选择和组合搭建,轻松实现高可靠、高可用性、高性能等数据库需求。云数据库服务也可大幅减少您的运维工作量,更专注于业务发展,让企业一站式享受数据上云及分布式架构的技术红利!
    领券
    问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档