LordPE修复从进程dump出来的内存文件
Posted 17bdw
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了LordPE修复从进程dump出来的内存文件相关的知识,希望对你有一定的参考价值。
场景
应急响应中从进程发现被注入了EXE文件,通过processhacker的Memory模块dump出来注入的文件。PE修复后在IDA里反汇编查看这个恶意代码的功能是什么。
解决
LordPE 虚拟内存对齐修复
【Section Table】
每个区段的
- VirtualAddress与RawOffset对齐
- VirtualSize与RawSize对齐
【Basic PE Header Information】
- 修复exe加载基地址和dump的内存地址
相关示例
LoadPE载入dump后的程序,查看区段信息,修正前
修正后
参考
傀儡进程内存Dump
https://www.cnblogs.com/chen-yi/p/8052713.html
以上是关于LordPE修复从进程dump出来的内存文件的主要内容,如果未能解决你的问题,请参考以下文章