PE_Search,内存PE文件搜索

你与明日

此插件是一个内存PE文件搜索的插件.

可对内存中的PE文件进行搜索导出,在病毒、软件逆向分析时一个可执行文件时会生成DLL.SYS.EXE文件,可对这三类文件进行导出.

支持x32dbg和x64dbg.

  

1.说明
   Updata Memory  ------>  当前文件的搜索内存块

   Search Pe             ------>  在指定范围内搜索PE格式文件

   Min Dump            ------>  最小化存储,根据最后一个区段的文件大小进行Dump,但可能会导致非区段内的数据丢失

   Max Dump            ------>  最大化存储,根据文件头到当前所在区段大小进行Dump,可确保非区段内的数据不丢失,但可能导致文件大小臃肿

2.场景

   UPX之类的壳在没运行起来的时候,资源文件没有被解密. 会导致搜索不到任何数据

     

    解决方法......让他走完解密流程,一般都是在程序的入口点都会解密完成

   

   
    提示....VMP3.X的壳搜索不到,估计是把资源扔到哪个VirtualAlloc 内存地址里面去了....

3.插件以及测试程序
   插件本体 PE_Search.zip (165.73 KB, 下载次数: 115)

2020-4-13 13:13 上传

点击文件名下载附件

     插件本体蓝凑下载:https://lanzouj.com/ibbqnqh

   测试程序: test.zip (1.51 MB, 下载次数: 15)

2020-4-13 13:13 上传

点击文件名下载附件

    测试程序蓝凑下载: https://lanzouj.com/ibbqnub

   解压密码:52pojie

   
   PE_Search.dp32 放到你的   x32\plugins  内
   PE_Search.dp64 放到你的   x64\plugins  内

4.测试截图

      


已知问题.....dump会导致文件原有的数字签名无效

这个插件写了三天左右,可能会有一些BUG,如碰到BUG,可在帖子下发留言,最好把触发环境等等发出来,方便我判断,感谢了

你与明日

610100 发表于 2020-4-14 09:34
vmp3.x资源不知道保存在哪，目前思路是HOOK  FindResourceExW或者 FindResource把资源写出

易语言程序没资源,他是直接放在资源区段,但没资源名字,vs程序大多数都是有资源名字的

你与明日

朱朱你堕落了 发表于 2020-4-14 07:56
end 牛，怎么样，x32dbg好用不？我之前用了段时间，感觉别扭，又换成od了

没OD好,但x64程序只能用x64dbg了,而且长期下来x32dbg也逐渐的熟悉了

redapple2015

支持一下，这么好的工具，能不能把你的配色方案共享一下，谢谢了

你与明日

redapple2015 发表于 2020-4-13 13:46
支持一下，这么好的工具，能不能把你的配色方案共享一下，谢谢了

https://lanzouj.com/ibbswfc

调试器->菜单->选择->导入设置

redapple2015

你与明日 发表于 2020-4-13 13:57
https://lanzouj.com/ibbswfc

调试器->菜单->选择->导入设置

十分感谢，初学，还需大神多多带带，谢谢！

smile1110

我一声不吭的拿走了，还不说谢谢，滑稽

smile1110

smile1110 发表于 2020-4-13 15:59
我一声不吭的拿走了，还不说谢谢，滑稽

哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈

无阻

支持OD吗

原理是不是搜索PE头然后然后+PE尾 组合起来？

你与明日

无阻 发表于 2020-4-13 17:23
支持OD吗

原理是不是搜索PE头然后然后+PE尾 组合起来？

没写OD版本的,原理就搜索MZ然后判断结构

nj001

感谢分享,下载来试一试