【发布时间】:2015-10-10 20:20:27
【问题描述】:
有很多工具旨在帮助分析可移植的可执行文件。例如 PE 资源管理器。我们可以将.exe 文件加载到其中并检查诸如节数、节对齐或特定节的虚拟地址之类的内容。
是否有任何类似的工具可以让我做同样的事情,但对于已经加载到内存中的可移植可执行文件?无法访问它的.exe 文件?
编辑:
也许我会尝试澄清我想要实现的目标。假设(就像 @0x90 建议的那样)我有两个应用程序,甚至可能是三个应用程序。
app1.exe - 由用户执行,基于 app3.exe 创建新进程,并通过将 app2.exe 放入其中来修改其内存。
app2.exe - 由 app1.exe 注入到 app3.exe 内存中。
app3.exe - 用于创建新进程。
我有所有三个应用程序的来源。我只是想通过注入/Processes Hollowing 的实际练习来了解 Windows 内部结构。我在 app1.exe 中有一些错误导致:
The application was unable to start correctly (0xc0000018).
我正在尝试找到一种方法来调试这种情况。我的想法是将磁盘上的 PE 与内存中的 PE 进行比较,并检查它是否正确。我很惊讶我找不到为这样的提议设计的工具。
【问题讨论】:
标签: security reverse-engineering portable-executable malware-detection