摘要:
PE文件结构: PE加载到内存后的映射: 我们本章节主要看上述细节。本文最核心的图就是PE在做image内存展开的样子: PE文件整体结构解析 之前我们已经按照PE文件的整体结构对实际的PE文件进行了大致上的了解了,现在我们需要来看看每个结构的意义和作用。 DOS头 在之前,我们已经了解过PE文件的 阅读全文
摘要:
原文参考:https://gh0st.cn/Binary-Learning/PE%E5%9F%BA%E7%A1%80.html PE基础 PE文件结构 从本章开始就要学习PE相关的内容。 可执行文件 在了解PE之前,我们需要知道什么是可执行文件,从字面理解可执行文件就是可以由操作系统进行加载执行的文 阅读全文
摘要:
示例了一个进程,如下是x64dbg看到的: 在vmmap里看到的,可以知道是完全一样的: 阅读全文
摘要:
volatility 2.4手册里说的: vol3里就只有: windows.netscan.NetScan Scans for network objects present in a particular windows memory image. 我自己实验下: PS D:\Applicati 阅读全文
摘要:
隐藏服务本质上和隐藏进程没有区别! svcscan原理: 因此,要找到隐藏的服务就需要使用svcscan,同时结合sc query看到的可见服务进行对比,以发现隐藏服务! PS D:\Application\volatility3-stable\moddmp_out> volatility26.ex 阅读全文
摘要:
可以看到识别inline hook的关键。 好了,我自己机器上实验下:先看下手册里介绍用法 https://downloads.volatilityfoundation.org/releases/2.4/CheatSheet_v2.4.pdf 实际使用发现确实加上-R 和 -Q会快很多!输出的结果如 阅读全文
摘要:
好了,书中,说了操作的步骤,我们再vol2里实验下。 查看进程: PS D:\Application\volatility3-stable> python .\vol.py -f "D:\book\malwarecookbook-master\malwarecookbook-master\16\7\ 阅读全文
摘要:
如果是vol3的话,我没有找到合适的命令行可以等价输出(感觉是vol3这块还没有足够成熟),因此:本文使用的是vol2,下载地址:http://downloads.volatilityfoundation.org/releases/2.6/volatility_2.6_win64_standalon 阅读全文
摘要:
volatility 3 内存取证入门——如何从内存中寻找敏感数据 上面说的思路,我自己在本机验证下,首先,我在虚拟机里使用IE登录我的qq邮箱,如下: 我自己登录IE的进程是2052,虚拟机dump vmem文件以后,vol3下: python .\vol.py -f "D:\Virtual Ma 阅读全文
摘要:
好了,为了简单表示上述提到的PEB和DLL加载的关系,给一一张图如下: TEB(Thread Environment Block,线程环境块)系统在此TEB中保存频繁使用的线程相关的数据。 PEB(Process Environment Block,进程环境块)存放进程信息,每个进程都有自己的PEB 阅读全文