LordPE修复从进程dump出来的内存文件

最新推荐文章于 2023-11-13 10:24:13 发布
最新推荐文章于 2023-11-13 10:24:13 发布
阅读量72 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sworld_/article/details/133094945
版权

场景

应急响应中从进程发现被注入了EXE文件,通过processhacker的Memory模块dump出来注入的文件。PE修复后在IDA里反汇编查看这个恶意代码的功能是什么。

解决

LordPE 虚拟内存对齐修复

【Section Table】

每个区段的

  • VirtualAddress与RawOffset对齐
  • VirtualSize与RawSize对齐

【Basic PE Header Information】

  • 修复exe加载基地址和dump的内存地址

相关示例

LoadPE载入dump后的程序,查看区段信息,修正前

修正后

参考

傀儡进程内存Dump

https://www.cnblogs.com/chen-yi/p/8052713.html

17bdw学编程
关注
MSF编码与upx加壳过杀软
悦分享
08-03 2397
本文详细介绍了使用Metasploit创建攻击载荷(使用攻击载荷生成器msfvenom),以及对攻击载荷进行免杀、加壳处理,从而突破杀毒软件。
LordPE软件
04-11
LordPE是一款功能强大的PE文件分析、修改、脱壳软件。LordPE是查看PE格式文件信息的首选工具,并且可以修改相关信息。LordPE的最新版本,改进了许多东东,PE 编辑器的功能更加强大,加入了各项目的16进制编辑和列表,除了修补了LDS(LordPE Dumper Server)的一些bugs,还增加了一个LDE(LordPE Dumper Engine),支持新的插件格式,功能增加了,还加入了一些yoda自己写的软件,对了,还有一项新的功能,就是:全球首先支持新的 pe 文件格式---pe+,但是只是支持编辑,还不支持脱壳等别的操作。配合手动脱壳工具(Ollydbg等)、ImportREC 等,学习调试手动脱壳必备的工具!
LordPe dump进程内存实现
ShadowAssassin的专栏
06-06 3107
#include #include #include #include //进程的第一个模块即为进程的 基址 (这里顺便获取进程内存映像的大小) DWORD GetProcessBaseAndImageSize(DWORD dwPID, DWORD *dwImageSize) { HANDLE hModuleSnap = INVALID_HANDLE_VALUE; MODULEEN
LordPE(PE文件分析、修改、脱壳软件)
06-18
LordPE,是一款功能强大的PE文件分析、修改、脱壳软件。LordPE是查看PE格式文件信息的首选工具,并且可以修改相关信息。
使用LordPE和Import REC脱壳
weixin_43575859的博客
04-18 4768
本博客用到的资源链接放在博客末尾。 LordPE是一款能够抓取内存映像的用来脱壳的软件,它能够把一个进程内存数据给Dump下来,然后保存为文件。 光了解一个软件的用处用起来如果出问题还是会比较头疼,所以这里简单说一下LordPE软件的原理。 该软件其实也是调用了系统的API。它首先调用CreateToolhelp32Snapshot函数来获取一个系统中的进程的快照。然后再用Module32...
脱壳后的IAT修复
谢绝(无视)留言与私信
02-01 4782
前言压缩壳(大部分)和加密壳脱壳后, 在OEP处Dump出来后, 都需要IAT修复. 否则运行报错. 今天练习了脱壳后的IAT修复, 将流程点记录一下.记录OEP处dump的工具OllyDump(修复导入表dump和不修复导入表dump) LordPE(有些壳dump不出来) PeTools OD在OEP处, 用这几种工具, 将PE映像Dump出来. 用这几种工具都Dump一下, 如果
傀儡进程内存Dump
XboxMicro
03-01 1392
傀儡进程(参见《动态加载并执行Win32可执行程序》),简单的说是指通过给CreateProcess传递一个CREATE_SUSPENDED参数可以使得被创建的子进程处于挂起状态,此时EXE的映像会被加载到进程空间中,但是并不会立即被执行,除非调用ResumeThread。在ResumeThread之前,通过GetThreadContext获取主线程的上下文以取得PEB等,调用ZwUnmapVie
upx3.94 x64加壳后dump内存修复过程记录
chilu6000的博客
07-03 1460
最近因为公司的一些事情,要面临重新找工作,希望可以找找逆向相关的工作,但是我以前也只做过反编译的工作,破解之类的工作中完全没有接触过,就想学习学习脱壳。就先从upx下手。 upx壳是种压缩壳,是将原有程序image进行压缩,在生成的可执行程序的entrypoint处代码进行解压,在解压完全后...
逆向破解程序脱壳篇-压缩壳
wodafa的博客
05-10 8196
现在压缩壳都有很多自动脱壳机,但是加密壳呢?学习手工脱壳不是为了单纯去学怎么脱这一种壳,学习的是技巧,以后遇到其他的没有脱壳机的壳要尝试手工去脱,就像一个网站注入点,你可以用sqlmap去注入,如果有waf呢?Sqlmap脚本绕不过去呢?不还得靠手工去试,工具是死的,人是活的
红队系列-shellcode AV bypass Evasion免杀合集
aming小老弟
11-13 1502
壳就是软件所增加的保护,并不会破坏里面的程序结构,当我们运行这个加壳的程序时,系统首先会运行程序里的壳,然后由壳将加密的程序逐步还原到内存中,最后运行程序。加壳虽然对于特征码绕过有非常好的效果,加密壳基本上可以把特征码全部掩盖,但是缺点也非常的明显,因为壳自己也有特征,主流的壳如VMP, Themida等等。客户端上传特征,在云端无法检测到,则上传文件文件通过杀软系统进行评判,得出总评分,对于无结果的,进行鉴定系统评分,总共得出结果返回给用户,并入云端库。比如可以远程读取png中的shellcode。
脱壳基础篇——常用六操作
摔不死的笨鸟的博客
12-09 897
本文适合入门级别脱壳选手学习,可以作为方法总结笔记。目录如下: 1.DUMP方法 2.ESP定律的本质 3.二次内存镜像方法 4.搜索命令法 5.模拟跟踪法之SFX 1.DUMP方法 在OD中提供两种方式进行脱壳,点击重建输入表。对于一些简单的壳来说,一般都会直接成功。 5.模拟跟踪法之SFX法 该方法缺点是速度有点慢,但是比较省事儿。是使用块方式跟踪,还是字节方式跟踪,要视情况而定。 这里...
LordPE修复
IX2700123456的博客
07-25 864
     发现之前从网上下载LordPE在Win10下打开闪退,尝试修复。   载入OD发现EIP被改写成非法地址,堆栈此时已经溢出。由于此时堆栈已经覆盖过多,所以能找到的回溯点离异常点很远。所以利用脚本跑一下,找一下异常点在哪。   在脚本执行结束后进行堆栈回溯,发现异常点就在这个EnumProcess...
手动脱壳—dump与重建输入表
ccnyou的专栏
08-31 6606
很久没玩逆向了,今天权当复习,顺便做个笔记 文章中用到的demo下载地址: http://download.csdn.net/detail/ccnyou/4540254 附件中包含demo以及文章word原稿 用到工具: Ollydbg LordPE ImportREC 这些工具请自行下载准备 Dump原理这里也不多做描述,想要了解google it!常见的dum
LordPE找不到进程
陈刚编程心得与知识集
01-22 3467
OD载入要脱壳的小程序文件(EXE教程自带的),到达OEP,用OD自带的脱壳,不成功。   打开LordPE(试过了教程带的中文、英文、和原始版本)找不到要脱壳的进程?   程序载入中,OD没有关。  另外,奇怪的是,进程里全是英文,路径里没有一个中文的。   我把资料放在了桌面上。  系统是WIN7,旗舰版。   求助?  是不是我的电脑哪里设置的问题?杀毒都关了。
华为OD模型资源22份
10-17
华为OD模型资源22份,资源列表: 组织发展与变革19页.pptx 华为BLM模型67页.ppt 华为组织变革认知和启示14页.docx 企业管理创新与组织变革110页.ppt 企业文化建设模型13页.ppt BLM模型90页.ppt 组织变革与管理38页.pptx 公司组织机构图10页.docx 如何设计出有效的组织架构29页.pptx 组织设计与发展10页.pptx 【模板】企业组织架构图PPT模板(漂亮实用)22P.ppt 公司组织机构调整方案9页.doc 丹尼森组织文化模型.xlsx 杜邦公司组织变革案例分析26页.ppt 组织文化评估工具(奎因模型)28页.pptx 公司与组织架构设计53页.ppt 【模板】企业组织架构图PPT模板15页.pptx 华为变革及流程管理框架33页.pptx 组织发展(OD)4页.pptx 组织发展评估模型48页.ppt 绩效管理(组织绩效管理)46页.ppt 组织变革的案例14页.ppt
13.jpg
10-17
13
UE4高清虚幻引擎教程全集
最新发布
10-17
1、Unreal Engine 4 零基础美术流程完全教学 2、Unreal Engine 4 独立游戏制作编程教学 3、Unreal Engine 4 可视化虚拟现实全流程实战教学 4、Unreal Engine 4 高级材质系统实战教学 5、Unreal Engine 4 虚幻引擎蓝图可视化编程教学 6、Unreal Engine 4 虚幻引擎蓝图可视化编程教学进阶篇 7、Unreal Engine 4 虚幻4引擎RPG游戏与特效实战开发教程 第一部 8、Unreal Engine 4 虚幻4引擎RPG游戏与特效实战开发教程 第二部 9、Unreal Engine 4 虚幻引擎VR交互虚拟漫游完全流程教学 HTCViveTemplate-UE4-master.zip UE4.12 substance套装.zip 共114G 网站上传资料大小有限制,仅包含代码
毕业设计论文SpringBoot商务安全邮箱邮件收发系统.docx
10-17
毕业设计论文
深入理解脱壳 Dump 技术与反脱壳策略
Dump技术主要是为了从内存中提取正在运行的进程的PE(Portable Executable)文件副本。这一过程涉及到对PE结构的理解,包括PE头、节表、ImageBase等关键元素。文章指出,Dump过程中首先要获取到进程的PEB(Process ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值