首页
社区
课程
招聘
[翻译]使用Process Hacker从内存中提取pe文件
发表于: 2022-9-14 14:09 6380

[翻译]使用Process Hacker从内存中提取pe文件

2022-9-14 14:09
6380

原文地址:https://rioasmara.com/2022/08/05/extracting-pe-from-memory-using-process-hacker/

翻译:梦幻的彼岸


我正在创建一个非常简单的教程,从内存中提取恶意软件。我做了两个简单的应用程序,第一个将从一个文本文件中加载第二个应用程序的二进制文件,该文件是用based64编码的。

下面是第一个应用程序的代码,它将把上述base64解码成PE文件,并将它们加载到内存中

运行第一个应用程序,直到它准备将有效载荷加载到内存中。

让我们打开Process Hacker,找出有效载荷将被复制到哪里。提示是找到具有保护功能的RWX的内存区域。让我们打开进程黑客,找到这个进程

右键点击进程并暂停它,以防止恶意软件进一步运行。请注意,你不应该在你的主操作系统中运行该恶意软件。

双击MalWrapper.exe,进入内存标签,找到带有RWX的内存地址。为什么是RWX,因为该内存区域必须允许有效载荷从该内存区域执行。

在加载有效载荷之前

我们可以看到,带有RWX保护的内存范围现在是空的,因为我们在有效载荷被复制到内存空间之前就停止了


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

最后于 2022-9-14 14:12 被梦幻的彼岸编辑 ,原因:
收藏
免费 5
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//