LordPE修复从进程dump出来的内存文件

场景

应急响应中从进程发现被注入了EXE文件，通过processhacker的Memory模块dump出来注入的文件。PE修复后在IDA里反汇编查看这个恶意代码的功能是什么。

解决

LordPE 虚拟内存对齐修复

【Section Table】

每个区段的

VirtualAddress与RawOffset对齐
VirtualSize与RawSize对齐

【Basic PE Header Information】

修复exe加载基地址和dump的内存地址

相关示例

LoadPE载入dump后的程序，查看区段信息，修正前

LordPE修复从进程dump出来的内存文件

修正后

LordPE修复从进程dump出来的内存文件

参考

傀儡进程内存Dump

https://www.cnblogs.com/chen-yi/p/8052713.html

相关文章：

2021-08-03
2021-09-07
2022-12-23
2021-08-13
2021-08-11
2021-10-01
2022-01-24
2022-12-23

猜你喜欢

2021-12-24
2021-10-27
2022-01-27
2022-01-23
2022-12-23
2021-12-11
2021-07-17

相关资源

下载 2023-03-28
下载 2023-03-08
下载 2021-06-05
下载 2023-02-06

相似解决方案

热门标签

Java Python linux javascript Mysql C# Docker 算法前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库数据结构大数据 js 机器学习微服务 Android Go 程序员面试 JVM ASP.net core 云原生人工智能后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习多线程 React 架构 devops 爬虫云计算 Spring Boot LeetCode