1、分析工具
Process Hacker
下载链接: https://sourceforge.net/projects/processhacker/files/processhacker2/processhacker-2.39-setup.exe/download
2、背景
很多恶意代码喜欢注入进程到其他程序中从而隐蔽执行恶意代码,这是情况下想要快速的分析调试该程序是比较麻烦的,这里可以通过把用ProcessHacker 监控目标程序,对注入的进程进行内存dump 以及字符串查找,从而快速定位样本功能和行为。
双击被注入的进程,选择Memory 、选择strings,填入字符串长度,点击filter, 输入想查找的字符串
此外还可以dump 出 RWX 的内存区域,点击memory 后选择 内存属性为RWX 的dump 下来以后,进行分析。