123
Process Dump

Process Dump

特定のプロセスまたは現在実行中のすべてのプロセスからメモリコンポーネントをダンプします。kernel32.dllなどのすべてのクリーンファイルのダンプをスキップできるように、クリーンハッシュデータベースの作成と使用をサポートします。
プロセスダンプは、Windows 32および64ビットオペレーティングシステムで動作し、特定のプロセスまたは現在実行中のすべてのプロセスからメモリコンポーネントをダンプできます。プロセスダンプは、クリーンハッシュデータベースの作成と使用をサポートしているため、kernel32.dllなどのすべてのクリーンファイルのダンプをスキップできます。主な機能は次のとおりです。特定のプロセスまたはすべてのプロセスからコードをダンプします。プロセスに適切にロードされていない隠しモジュールを見つけてダンプします。PEファイルに関連付けられていない場合でも、緩やかなコードチャンクを検索してダンプします。PEヘッダーを構築し、チャンクのテーブルをインポートします。積極的なアプローチを使用してインポートを再構築します。クローズダンプモニターモード( '-closemon')で実行できます。このモードでは、プロセスは一時停止され、終了する直前にダンプされます。マルチスレッドなので、実行中のすべてのプロセスをダンプするとき、それは非常に速く行きます。クリーンなハッシュデータベースを生成できます。マシンがマルウェアに感染する前にこれを生成して、Process Dumpが新しい悪意のあるマルウェアコンポーネントのみをダンプするようにします。...

カテゴリー

ライセンスのあるすべてのプラットフォームでのProcess Dumpの代替

PE-sieve

PE-sieve

PE-sieveは特定のプロセスをスキャンし、メモリ内のコード変更を含むモジュールを検索します。見つかった場合、変更されたPEをダンプします。インラインフック、空洞化されたプロセス、プロセスのDoppelgängingなどを検出します。マルウェアの解凍に使用できます。