好友
阅读权限35
听众
最后登录1970-1-1
|
你与明日
发表于 2020-4-13 13:20
本帖最后由 你与明日 于 2020-4-13 13:21 编辑
此插件是一个内存PE文件搜索的插件.
可对内存中的PE文件进行搜索导出,在病毒、软件逆向分析时一个可执行文件时会生成DLL.SYS.EXE文件,可对这三类文件进行导出.
支持x32dbg和x64dbg.
1.说明
Updata Memory ------> 当前文件的搜索内存块
Search Pe ------> 在指定范围内搜索PE格式文件
Min Dump ------> 最小化存储,根据最后一个区段的文件大小进行Dump,但可能会导致非区段内的数据丢失
Max Dump ------> 最大化存储,根据文件头到当前所在区段大小进行Dump,可确保非区段内的数据不丢失,但可能导致文件大小臃肿
2.场景
UPX之类的壳在没运行起来的时候,资源文件没有被解密. 会导致搜索不到任何数据
解决方法......让他走完解密流程,一般都是在程序的入口点都会解密完成
提示....VMP3.X的壳搜索不到,估计是把资源扔到哪个VirtualAlloc 内存地址里面去了....
3.插件以及测试程序
插件本体
PE_Search.zip
(165.73 KB, 下载次数: 116)
插件本体蓝凑下载:https://lanzouj.com/ibbqnqh
测试程序:
test.zip
(1.51 MB, 下载次数: 15)
测试程序蓝凑下载: https://lanzouj.com/ibbqnub
解压密码:52pojie
PE_Search.dp32 放到你的 x32\plugins 内
PE_Search.dp64 放到你的 x64\plugins 内
4.测试截图
已知问题.....dump会导致文件原有的数字签名无效
这个插件写了三天左右,可能会有一些BUG,如碰到BUG,可在帖子下发留言,最好把触发环境等等发出来,方便我判断,感谢了
|
免费评分
-
查看全部评分
本帖被以下淘专辑推荐:
- · 鱼木收集|主题: 2546, 订阅: 2717
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|