内存展开文件分析——Dump文件产生的头脑风暴

最新推荐文章于 2022-03-12 01:25:51 发布
最新推荐文章于 2022-03-12 01:25:51 发布
阅读量270 收藏 1
点赞数
分类专栏: 奇技淫巧 文章标签: PE文件修复 内存展开 病毒分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sxr__nc/article/details/115706232
版权

这个完全是分析Dump文件学到的一点小技巧,作为记录,防止遗忘。
Dump文件来源——大哥给了一个进程Dump文件,可能存在恶意行为,拿过来分析,从里边抠出来一个DLL文件。但是经过查看发现这个PE文件是已经在内存中展开后的镜像,IDA没办法直接分析,想分析得稍微处理一下,修正几个参数。当然,首先还是要判断这个文件处于什么状态,这个问题可以去看
https://blog.csdn.net/cssxn/article/details/84031416?spm=1001.2014.3001.5501
里边有较为详细的描述来判断文件是不是展开的PE。确定拿到的PE文件是展开过后的PE文件,接下来就是对PE文件的修复,通过修复FE文件来使用IDA静态分析。
其实主要就是修复以下两个部分:

修复区段Raw地址和大小,修改成在内存展开后的地址和大小(每个区段都修复)
然后修复exe加载基地址和dump的内存地址一样

至于需要修复的第二项,是因为,Dump下来的文件,里边的地址已经使用了内存展开的地址,所以,修改PE文件的加载基址为使用Windbg打开dump文件后的映像加载基址,即可使用IDA正常的静态分析。
Windbg搜索内存指令:

s 地址 长度 特征码

参考链接:
https://bbs.pediy.com/thread-250670.htm#%E6%90%9C%E7%B4%A2%E5%86%85%E5%AD%98

Psy_Hacker
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
用IDA来dump文件内容
iqiqiya的博客
09-09 2757
转载自:https://blog.csdn.net/qq_35078631/article/details/79849977 一开始需要dump文件中一段数据,但是突然发现自己没有接触过这种东西…真TM菜逼…搞到现在居然dump文件都不会…然后简单总结一下,利用得IDA。  首先从File选项中找到script command这个选项  然后我们主要可以利用两种语言实现,一种是IDC,是...
IDA memory dump
江南小虫虫的博客
05-26 850
ida 内存dump的两种方式
内存Dump出PE
不会写代码的丝丽
03-12 1043
https://docs.microsoft.com/en-us/windows/win32/debug/pe-format https://blog.csdn.net/weixin_43655282/article/details/104291312 https://zhuanlan.zhihu.com/p/31967907 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-QwpoOrBd-1646929463326)(https://upload.wikimedia.org
2021-09-20 Android(R) user版本启动ADB,并设置root权限
weihua1643的博客
09-20 2119
Android user版本启动ADB,并设置root权限 遇到的问题: user版本莫名重启(调查发现是发生了kernel panic),由于没有Log,无法直接调查。 调查思路: 1.通过修改kernel config,将SERIAL_CONFIG设置成y打开log,但是如果是由于时序引起的重启,打开log之后问题可能不会再现 2.由于重启时,Android会将rawdump存起来,可以通过导出rawdump文件解析出当时的log 导出工具: ADB,但是adb pull需要root权限,user版本默
android dump 分区
李子的备忘录
10-04 2500
有的时候需要dump分区的raw data(没有文件系统)进行分析   /* * out put raw partition image */ #include #include #include #include #include #include #include #define PRELOADER "/dev/preloader"
windows C++ 产生dump文件,定位代码内存错误非常有效
01-05
总结来说,生成和分析dump文件是Windows C++环境下解决内存错误的重要方法。它能够提供详细的崩溃时刻信息,帮助开发者迅速定位问题,提高故障排查的效率。通过结合适当的调试工具和技巧,我们可以更有效地管理C++...
Jstack分析工具——IBM Thread and Monitor Dump Analyzer for Java
08-16
需要本地安装JDK并配置JAVA环境变量。 之后使用java -jar jca469.jar即可打开工具。 直接将dump出来的堆栈信息,打开,便可分析
java内存dump文件分析软件,MemoryAnalyzer1.8.0
05-13
jvm的dump文件分析工具,32与64位,两个版本,欢迎大家一起学习jvm内存分析
常见DUMP文件(共47个)
最新发布
04-11
常见梯控门禁DUMP文件 ├─ 东芝3.dump ├─ 九竹停车卡.dump ├─ 九竹门禁.dump ├─ 亲邻门禁.dump ├─ 前景1.dump ├─ 卡达5梯控.dump ├─ 卡达7.dump ├─ 卡达城市立方-1写cuid.dump ├─ 卡里德.dump ├...
pedump.rar_dump_pedump_pe文件_ts 分析_tsdump download
09-19
分析pe文件的信息,节表section信息,各种DATA_DIRECTORY位置,信息和资源信息,function imports table和function exports table
Process-Dump, 用于将恶意软件PE文件内存恢复到磁盘的Windows 工具.zip
09-18
Process-Dump, 用于将恶意软件PE文件内存恢复到磁盘的Windows 工具 进程转储进程转储是一个 Windows 反向工程命令行工具,用于将恶意软件内存组件转储到磁盘上进行分析。 通常,在执行这些文件时,恶意软件文件被打包和混淆,以避免视频扫描器。 分析恶意软件的一个常见任务是将这个解压缩的代码从内存转储回磁盘
分析两种Dump(崩溃日志)文件生成的方法及比较
热门推荐
方亮的专栏
04-08 2万+
本文分析和讲解了两种截取dump的方法。一种是使用SetUnhandledExceptionFilter方法设置回调。一种是通过Hook函数UnhandledExceptionFilter实现。后一种方法可以截获前一种方法无法截获的异常,比如R6025:纯虚函数调用(pure virtual function call)。
程序崩溃?教你一招dump文件分析轻松解决
阿花的博客
07-08 1万+
Dump文件是进程的内存镜像。可以把程序的执行状态通过调试器保存到dump文件中。
IDA动态调试技术及Dump内存
在路上-codingAndlearning
11-20 8746
最近研究SO文件调试和dump内存时,为了完整IDA调试起来,前后摸索了3天才成功,里面有很多坑和细节,稍微不注意,就一直排行,需要理解每步骤的作用意义,否则就会觉得教程不对,要详细的教程可能找不到,大部分都是简单介绍,没有提醒细节和易忽视的点动态调试步骤,顺序严格如下事先准备工作 1、要求root手机或者直接用模拟器 否则没有权限启动android_server 2、IDA在6.6以上版
利用IDA dump文件内容
Assassin
04-17 7954
一开始需要dump文件中一段数据,但是突然发现自己没有接触过这种东西…真TM菜逼…搞到现在居然dump文件都不会…然后简单总结一下,利用得IDA。 首先从File选项中找到script command这个选项 然后我们主要可以利用两种语言实现,一种是IDC,是一种IDA强大得扩展语言,另一种是IDApython了 IDC 直接上脚本,这只是dump文件得部分,IDC还有很多厉害得功...
Qcom的CamX
qq_43281895的博客
08-22 3841
文章目录常用缩略语 常用缩略语 |缩写|全称 | |-CHI-|–| | | | 缩写 全称 CHI Camera Hardware Interface IFE Image Front End IPE Image processing engine BPS Bayer processing segment TFE Thin Front End OPE Offline Processing Engine UMD User Mode Driver KMD Kernal Mode Driver RDI Ra
内存Dump原理
个人博客
02-24 1万+
windows中一个可执行性程序被执行后,或者其他的数据文件,只要被影射到了某个进程的地址空间就有机会将它dump出来,这种技术到底有何用,举个例子,比如你有一个软件,并且设置了注册机制,而且用过特殊加密措施,比如用UPX,PECompact加密,但是如果在内存中将其给dump出来,所有的加密的壳都化为乌有,软件的保护也就化为乌有。 加密的文件必须解密后才能进驻内存,代码才能正常执行,所以在代码
java内存泄漏,如何分析dump文件
05-30
Java内存泄漏通常是由于程序中存在无用对象被持续引用导致的,可以通过分析dump文件来定位和解决内存泄漏问题。下面是一些分析方法: 1. 使用jmap命令导出dump文件:jmap -dump:format=b,file=<文件名>.bin <进程id> 2. 使用MAT(Memory Analyzer Tool)工具打开dump文件,可以在Overview页面查看内存使用情况和泄漏对象数量。 3. 在Histogram页面,可以按照对象类型和数量进行排序,找出占用内存较多的对象类型,并查看其引用链,找到可能引起泄漏的代码。 4. 在Dominators页面,可以找出堆中的GC Roots,即根对象,它们可能会持有一些无用对象的引用,导致内存泄漏。 5. 在Leak Suspects页面,可以查看可能存在的内存泄漏对象,MAT会根据对象引用链分析出可能的泄漏原因和代码位置,帮助我们更快地定位问题。 需要注意的是,dump文件可能会很大,需要占用较多的磁盘空间和时间进行分析,建议在测试环境下进行分析

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值