关于内存注入
能不能把注入进内存中的dll通过某种方式提取出来。或者拦截。 同问 同问 你说的是内存加载的dll吗?只要没加密很好就提取出来了 lushihao 发表于 2023-10-12 16:19你说的是内存加载的dll吗?只要没加密很好就提取出来了
用什么方法或者工具呢 qiqi520i 发表于 2023-10-12 16:19
用什么方法或者工具呢
{:1_926:} 这个没有工具只能断点调试 找到dll的内存地址 和大小 然后啥都好办了 https://www.52pojie.cn/thread-261451-1-1.html 使用PE工具.dump下来内存.然后根据PE头.来进行修复. 修复为文件形式. 如果内存对齐==文件对齐.那么dump下来应该也是可以分析的. 能用工具提取出来,如果没用, 那说明 调用有参数, 或者 加载后将一些初始化代码给 nop了!只能慢慢分析 IBinary 发表于 2023-10-12 17:19
使用PE工具.dump下来内存.然后根据PE头.来进行修复. 修复为文件形式. 如果内存对齐==文件对齐.那么dump下来 ...
大佬。能说一下有哪些好用的dump工具吗 xlhwxyh 发表于 2023-10-12 22:06
能用工具提取出来,如果没用, 那说明 调用有参数, 或者 加载后将一些初始化代码给 nop了!只能慢慢分析
提取出来可以用。只是外面还套了层dll。
页:
[1]