浅谈脱壳中的Dump技术

最新推荐文章于 2023-05-20 09:00:00 发布
最新推荐文章于 2023-05-20 09:00:00 发布
阅读量761 收藏 1
点赞数
文章标签: string function image file forms null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whypp/article/details/4226879
版权

看完第一章实践一下:主要功能就是Dump,科普一下 对于dump来说,他的英文翻译就是“转存”。也就是说把内存中或者其他的输入转存到另一个位置,当然对于我们现在说的dump就是把内存中运行的PE进程的数据,从内存中抓取出来,然后在用文件的形式保存下来。

代码如下:

 unit Unit1111;

interface

uses
  Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,
  Dialogs, StdCtrls, ExtCtrls, TlHelp32;

type
  TForm1 = class(TForm)
    pnl1: TPanel;
    btn1: TButton;
    btn2: TButton;
    lst1: TListBox;
    dlgSave1: TSaveDialog;
    procedure btn1Click(Sender: TObject);
    procedure btn2Click(Sender: TObject);
 
  private
    { Private declarations }
  
      mypr32:PROCESSENTRY32;
      imagesize:Cardinal;
      mprocess :Cardinal;
  public
    { Public declarations }
    function GetProccesList (): Boolean;
    function DumProces(): string;
    function DumpFile(Name:string): Boolean;
    function CheakPE  (IsPe:string):THandle;
    procedure getsize(isize:Cardinal);

  end;

var
  Form1: TForm1;

implementation

{$R *.dfm}

function TForm1.DumProces ():string ;
var
   inum: string ;
begin
      inum:=Lst1.Items[Lst1.ItemIndex];
      DumProces:=inum;
end;

function TForm1.CheakPE(IsPe:string) :THandle;

var
  Process:Cardinal;
  mread:Cardinal;
  mflag:Cardinal ;
   WMax: DWord;
  NTag: DWord;
  ImageDosHeader    : IMAGE_DOS_HEADER;
  //ImageNtHeaders    : IMAGE_NT_HEADERS;
  //ImageSectionHeader: IMAGE_SECTION_HEADER;

begin

    Process:=0;
    //ImageDosHeader:=
    mflag:=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0)  ;
          if (mflag = GetLastError()) then
          begin
              ExitProcess(Null);
          end ;
          mypr32.dwSize:=SizeOf(TPROCESSENTRY32);
          if Process32First(mflag,mypr32) then
          begin
             while Process32Next(mflag,mypr32) do
             if mypr32.szExeFile=IsPe then
             begin
             Process:=mypr32.th32ProcessID;
             //ShowMessage(IntToStr(Process));
             Break;
             end;

          end;

     mprocess:= OpenProcess(PROCESS_VM_READ,False,Process);
     //ShowMessage(IntToStr(mprocess));
     if (ReadProcessMemory(mprocess, Pointer($00400000), @WMax, 2, NTag))  then
              //ShowMessage('ok')
     else

            ShowMessage(IntToStr(GetLastError()));
     //ShowMessage(Format('%x',[WMax]));
         mread:=SizeOf(ImageDosHeader) ;
          mread:=mread-$4 ;
      if (WMax = $5A4D) then
        // ShowMessage(Format('%x',[WMax]));
       if (ReadProcessMemory(mprocess, Pointer($00400000+mread),@WMax, 2, NTag))
       then
          //ShowMessage(Format('%x',[WMax]));
           mread:=WMax;

         if (ReadProcessMemory(mprocess, Pointer($00400000+mread),@WMax, 2, NTag))
         then
           //ShowMessage(Format('%x',[WMax]));
           if (WMax = $4550) then
           begin
              //ShowMessage(Format('%x',[WMax]));
             
           end;
           mread:=mread+$50;
              if (ReadProcessMemory(mprocess, Pointer($00400000+mread),@WMax, 4, NTag))
              then
                //ShowMessage(Format('%x',[WMax]));
                imagesize:=WMax;
           Result:=Process ;
end;

function TForm1.DumpFile (Name:string):Boolean ;
var
  writeDW,oldG,Gall:Cardinal;
  SI: TSystemInfo;
   mbi_thunk:TMemoryBasicInformation;
    WMax,NTag:Cardinal;
    resize:DWord;
     hndl2:Cardinal;
       adder,adder1:Cardinal;
begin  
  resize:=0;
         if CheakPE(Name)>0 then
         begin
           GetSystemInfo(SI);
           //ShowMessage(IntToStr(SI.dwAllocationGranularity) );
            Gall:=GlobalAlloc(GMEM_FIXED,SizeOf(imagesize));
            oldG:=Gall;
            adder:=$00400000;
            mbi_thunk.AllocationBase:=Pointer(Gall) ;
            mbi_thunk.RegionSize:=resize;
             mbi_thunk.BaseAddress:=Pointer($00400000);
             //mbi_thunk.AllocationProtect=PAGE_READWRITE;
             // mbi_thunk.State=MEM_FREE;


           while ((adder-$00400000)<=imagesize) do
           begin

            VirtualQueryEx(mprocess,Pointer(adder),mbi_thunk,sizeof(TMemoryBasicInformation));
            if mbi_thunk.Protect=PAGE_READWRITE then
               ExitProcess(0)
            else
            ReadProcessMemory(mprocess, Pointer(adder),@WMax, 4, NTag);
            WriteProcessMemory(mprocess, mbi_thunk.AllocationBase,@WMax, 4, NTag);
            adder:=adder+$4;
            Gall:=Gall+$4 ;
            mbi_thunk.AllocationBase:=Pointer(Gall);
           end;

             //ShowMessage('save file');
             dlgSave1.Filter   :='*.exe';
             dlgSave1.filename :='Dump.exe';
             adder1:=$00400000;
              if   dlgSave1.Execute   then
              begin

                   hndl2:=CreateFile(pchar(dlgSave1.filename),GENERIC_WRITE or GENERIC_READ,FILE_SHARE_READ or FILE_SHARE_WRITE,nil,
                                     CREATE_ALWAYS,FILE_ATTRIBUTE_NORMAL,0);
                  if hndl2 =INVALID_HANDLE_VALUE then
                  ExitProcess(0)
                  else
                   //ShowMessage(IntToStr(GetLastError()));
                   while (adder1-$00400000)<= imagesize   do
                   begin
                     //ReadFile(hndl2,oldG,4,writeDW,nil);
                     WriteFile(hndl2,oldG,4,writeDW,nil);
                     oldG:=oldG+$4;
                     adder1:=adder1+$4;
                   end;
                   CloseHandle(hndl2);
                  
               end
              else
              GlobalFree(Gall);
              dlgSave1.Free;


            
         end;

        Result:=True;
end;

function TForm1.GetProccesList():Boolean;
var

 

  mflag:THandle ;

   begin
          mflag:=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0)  ;
          if (mflag = GetLastError()) then
          begin
              ExitProcess(Null);
          end ;

          mypr32.dwSize:=SizeOf(TPROCESSENTRY32);

 

          if Process32First(mflag,mypr32) then
          begin
             while Process32Next(mflag,mypr32) do
             lst1.Items.Add(mypr32.szExeFile);

          end;
          Result:=True;

   end;

procedure TForm1.btn1Click(Sender: TObject);
begin
    lst1.Clear;
    GetProccesList();
end;
 procedure TForm1.getsize (isize:Cardinal);
 var
   sum:Cardinal;
 
 begin
      sum:=$1000;
      if((isize mod sum)=0) then
           imagesize:=isize
      else
           imagesize:=Trunc((isize/sum+$1)*(sum));
 end;

 


procedure TForm1.btn2Click(Sender: TObject);
var
  restr:string;
begin


       restr:=DumProces();
       //MessageBox(Handle,PAnsiChar(restr),'',0);
       getsize(imagesize);
       DumpFile(restr);

end;

 

end.

最后说一下写的比较烂不太好用 因为懒得调试!最近又在搞别的东西,有空的话再搞一下。

whypp
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
容器生成coredump文件
01-05
如何在让docker运行的进程生成core dump文件
菜鸟脱壳脱壳的基础知识(二) ——DUMP的原理
banhanjun1518的博客
07-05 600
菜鸟脱壳脱壳的基础知识(二)——DUMP的原理当外壳的执行完毕后,会跳到原来的程序的入口点,即EntryPoint,也可以称作OEP!当一般加密强度不是很大的壳,会在壳的末尾有一个大的跨段,跳向OEP,类似一个壳与程序入口点的“分界线!当我们到达了程序的OEP,我们就需要进行DUMP程序了,那么什么时候去DUMP一个程序呢?这里我引用了fly的一句话!“手动脱壳理想的最佳dump时机...
Core Dump技术介绍
yclz的专栏
04-12 3494
 在开发和使用Linux程序时,我们最怕的就是莫过于程序莫明其妙的当掉了,虽然对整个系统来说是没有什么影响,但对于程序使用尤其是程序开发者来说,这显然是难以忍受的,有这样一种技术,操作系统把程序当掉时的内容保存起来,让我们在程序开发时作一个调试参考。1、什么是core dump?Core,即core memory, 指由一系列小当纳圈形的磁性材料组成的存储器,这里不过是沿用了这一称呼,
[1197]脱壳工具dumpDex、frida_dump、BlackDex
周小董
05-20 860
dumpDex: 一个开源的 Android 脱壳插件工具,需要xposed支持。可以用来脱掉当前市场上大部分的壳。(360加固、腾讯乐固、梆梆加固、百度加固均可脱壳)支持大多数xposed环境的手机,暂不支持模拟器github地址:https://github.com/WrBug/dumpDex,可以直接下载release的apk,也可以自行编译打包成apk安装到手机。
脱壳工具 JitDumper
03-18
软件说明: .NET Framework 4.8(x86 和 x64)(已测试) .NET Core 1(x86 和 x64)(未测试) .NET Core 2(x86 和 x64)(未测试) .NET Core 3(x86 和 x64)(已测试) .NET 5(x86 和 x64)(已测试) ...
Linuxhexdump命令用法
09-15
主要介绍了Linuxhexdump命令用法,并给大家例举了命令输出结果,有兴趣的学习下吧。
计算机dump到底是什么意思?
01-09
因为程序在计算机运行时,在内存、CPU、I/O等设备上的数据都是动态的(或者说是易失的),也就是说数据使用完或者发生异常就会丢掉。如果我想得到某些时刻的数据(有可能是调试程序Bug或者收集某些信息),就要把...
查壳工具 Dump-e ver0.2 易语言脱壳工具
03-19
可对加壳的软件进行快速脱壳,如果有报毒属于误报,添加信任即可,不信可上传查毒网站进行查毒
现代dump技术及保护措施(下)
FISH 的专栏
11-26 1818
现代dump技术及保护措施(下)Dynamic unpacking另一种对付dump的常用方法就是的 dynamic packing。其思想就是,protector并不将受保护的程序完全unpack,而只是unpack一部分。首先unpack第一页,当快要进行完时protector对异常进行拦截并unpack所请求的页,这时它就可以将上一页从内存删除。这样受保护进程的image在内存里从来都不曾
脱壳DUMP数据的原理以及反Dump的方法
sxr__nc的博客
01-08 1724
DUMP数据的原理 常见的Dump的软件有LoadPE、PETools等,这类工具在进行Dump数据的时候采用的主要的方式是利用Moudle32Next来获取将要Dump的进程的基本信息。Moudle32Next的原型如下: BOOL Moudle32Next (HANDLE hSnapshot,LPMODULEENTRY32 lpme) /*参数具体如下: hSnapshot:之前调用的Crea...
脱壳方法总结
宗泽的博客
06-09 9305
一、单步跟踪法   脱壳的方法有很多,先来讲脱壳方法最基础的单步跟踪法。单步跟踪法就是利用OD的单条指令执行功能,从壳的入口一直执行到OEP,最终通过这个OEP将原程序dump出来。然当,在单步跟踪的时候需要跳过一些不能执行到的指令。   使用单步跟踪法追踪OEP的常见步骤:   1、用OD载入待脱壳文件,如果出现压缩提示,选择“不分析代码”;   2、向下单步跟踪,实现向下的跳转;   3、遇...
计算机Dump的含义
weixin_34137799的博客
02-16 1028
Dump的本意是"倾卸垃圾"、"把(垃圾桶)倒空"。在计算机技术使用Dump的主要意思仍然如此,即当电脑运行发现故障后,无法排除而死机,通常要重新启动。为了找出故障的原因,需要分析现场(即死机时整个内存的当前状况),在重新启动系统之前要把内存的一片0、1(这时它们尤如一堆垃圾)"卸出"保存起来,以便由专家去分析引起死机的原因。技术资料把这个"卸出"的过程叫dump;有时把卸出的"内容...
高级色系PPT11.pptx
05-08
高级色系PPT11.pptx
node-v7.9.0-linux-x86.tar.xz
最新发布
05-08
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
基于tensorflow的的cnn卷积神经网络的图像识别分类
05-08
【作品名称】:基于tensorflow的的cnn卷积神经网络的图像识别分类 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
### 数据分析概念、使用技巧、优缺点的文章
05-08
数据分析是指通过收集、清洗、处理和解释数据,以发现其的模式、趋势和关联,从而提供决策支持或洞察见解的过程。它在各行各业都扮演着至关重要的角色,从市场营销到科学研究,从金融领域到医疗保健,都有广泛的应用。
对微信帐单进行数据分析
05-08
#pip install pandas -i https://mirrors.aliyun.com/pypi/simple #安装pandas处理数据模块 #pip install xlwt -i https://mirrors.aliyun.com/pypi/simple #安装excel模块 #pip install openpyxl #从微信导出对帐帐单 import pandas as pd #引入pandas,重命名为pd,Python3.9.10版本的Pandas无法兼容低版本的xls import numpy as np #导入均值模块 #从第17行读取csv格式的帐单 df = pd.read_csv('微信支付账单(20230101-20230401).csv',header=16) #分析数据 ...... #将分析数据另存为out.xlsx ..... #进行交易进间分析 ...... #统计交易对方 ...... #将结果保存到excel ..... writer.close()
pythondump
07-27
在Pythondump函数是pickle模块的一个方法,用于将对象序列化并写入文件。引用\[1\]的代码示例展示了如何使用dump函数将数据分多次写入文件。首先,需要创建一个文件对象,然后使用dump函数将数据写入文件。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值