الاداة الوحيدة التي وجدتها والتي تحفظ بصيغة exe وحسب المواصفات التي طلبتها انت هي Process Dump (PD)
الاداة تستخدم بالدرجة الاولى لتحليل الـ malware لذلك ستفيدك في تحليل الحمايات العنيدة وهي تدعم بشكل كامل 32 و 64 كما يمكنها عمل dump لمناطق الذاكرة التي PE headers تبعها ممحي كوسيلة من وسائل الـ anti-dumping
وفي هذه الحالة الاداة ستقوم بتوليد الـ PE headers والـ import tables بشكل ألي، الاداة تستخدم ميزة الفحص عن طريق الـ hash فهي تعمل فحص للنظام قبل تشغيل الـ malware وتعمل قاعدة بيانات بكل الـهاشات للملفات التي في الذاكرة وتعتبرها على انها نظيفة ثم بعد تشغيل الـ malware تقوم بعمل dump لاي process جديد لا يملك هوية تعريف في قاعدة البيانات ويعتبر process غريب. (عيب هذه الطريقة بنظري انها تأخذ بعض الوقت ولكن يمكن تخطيها)
كا يمكنك عمل dump لـ process محدد او لكل الـ processes في النظام، كذلك ايجاد الـ modules المخفية وعمل dump لها وايجاد الاكواد الطليقة "loose code" في مناطق الذاكرة.
اهم الاوامر التي تحتاجها
-----
------
-------
-------
---------
--------
لتحميل الاداة
الاداة تحتاج Microsoft Visual C++ Redistributable for Visual Studio 2015 لكي تعمل
موقع الاداة والكود المصدري + التعليمات
------
![[صورة مرفقة: 0yvswcZ.png]](https://i.imgur.com/0yvswcZ.png)
ul
واجهة الاداة
![[صورة مرفقة: BL50XEz.png]](https://i.imgur.com/BL50XEz.png)
عمل Dump لجوجل كروم
![[صورة مرفقة: 4zwSj0m.png]](https://i.imgur.com/4zwSj0m.png)
كما تلاحظ هنا تم اعادة بناء او اصلاح الدوال المستوردة او Imports
--------------------
ملاحظة: توجد ادوات اخرى مثل task manager (موجود بشكل افتراضي في ويندوز) و ProcDump يمكنها عمل Dump ببضعة ضغطات ولكن المشكلة ان الـDump سيكون بصيغة (DMP.)
الا في حال رغبت باستعمال WinDbg لتحليل ملفك
https://github.com/glmcdona/Process-Dump
الاداة تستخدم بالدرجة الاولى لتحليل الـ malware لذلك ستفيدك في تحليل الحمايات العنيدة وهي تدعم بشكل كامل 32 و 64 كما يمكنها عمل dump لمناطق الذاكرة التي PE headers تبعها ممحي كوسيلة من وسائل الـ anti-dumping
وفي هذه الحالة الاداة ستقوم بتوليد الـ PE headers والـ import tables بشكل ألي، الاداة تستخدم ميزة الفحص عن طريق الـ hash فهي تعمل فحص للنظام قبل تشغيل الـ malware وتعمل قاعدة بيانات بكل الـهاشات للملفات التي في الذاكرة وتعتبرها على انها نظيفة ثم بعد تشغيل الـ malware تقوم بعمل dump لاي process جديد لا يملك هوية تعريف في قاعدة البيانات ويعتبر process غريب. (عيب هذه الطريقة بنظري انها تأخذ بعض الوقت ولكن يمكن تخطيها)
كا يمكنك عمل dump لـ process محدد او لكل الـ processes في النظام، كذلك ايجاد الـ modules المخفية وعمل dump لها وايجاد الاكواد الطليقة "loose code" في مناطق الذاكرة.
اهم الاوامر التي تحتاجها
pd64.exe -db genquick
-----
pd64.exe -db gen
------
pd64.exe -pid 499
لعمل dump عن طريق الـ pid
---------
---------
في حال لم ترغب من الاداة اصلاح الـIAT---------
pd64.exe -p .*chrome.*
---------
-ni
-------
-g
-------
-nc
---------
-db ignore
--------
لتحميل الاداة
http://www.split-code.com/files/pd_v2_1.zip
الاداة تحتاج Microsoft Visual C++ Redistributable for Visual Studio 2015 لكي تعمل
https://www.microsoft.com/en-ca/download/details.aspx?id=48145
موقع الاداة والكود المصدري + التعليمات
https://github.com/glmcdona/Process-Dump
------
ulواجهة الاداة
عمل Dump لجوجل كروم
كما تلاحظ هنا تم اعادة بناء او اصلاح الدوال المستوردة او Imports
--------------------
ملاحظة: توجد ادوات اخرى مثل task manager (موجود بشكل افتراضي في ويندوز) و ProcDump يمكنها عمل Dump ببضعة ضغطات ولكن المشكلة ان الـDump سيكون بصيغة (DMP.)
الا في حال رغبت باستعمال WinDbg لتحليل ملفك
سبحان الله وبحمده، سبحان الله العظيم