taibeihacker
Moderator
MEMTRACER是一种提供实时内存分析功能的工具,使数字法医实践者可以发现和研究隐藏在存储器中的隐身攻击痕迹。 MEMTRACER以PYTHON语言实现,旨在检测反射加载的本机.NET Framework Dynamic-Link库(DLL)。这是通过寻找以下异常内存区域的特征来实现的:
每个内存区域中的内存页面标志状态。具体而言,用于保留虚拟内存使用的内存页面的mem_commit标志。该地区的页面类型。 MEM_MAPPED页面类型指示区域内的内存页面映射到部分的视图中。该地区的内存保护。 page_readwrite保护表明内存区域是可读且可写的,如果汇编(byte [])方法使用将模块加载到内存中。内存区域包含一个PE标头。该工具首先扫描运行过程,并分析分配的存储区域特征以检测反射性DLL加载症状。可疑的记忆区域被确定为DLL模块,以进行进一步的分析和研究。
此外,该工具具有以下选项:
丢弃折衷的过程。导出一个提供有关折衷流程的信息的JSON文件,例如过程名称,ID,路径,大小和基础地址。按名称搜索特定的加载模块。
-h, - 赫尔普显示此帮助消息和退出
-r, - 反射剂寻找反射性dll加载
-m模块, - 模块,寻找Spcefic负载的DLL
The script needs administrator privileges in order incepect all processes.
每个内存区域中的内存页面标志状态。具体而言,用于保留虚拟内存使用的内存页面的mem_commit标志。该地区的页面类型。 MEM_MAPPED页面类型指示区域内的内存页面映射到部分的视图中。该地区的内存保护。 page_readwrite保护表明内存区域是可读且可写的,如果汇编(byte [])方法使用将模块加载到内存中。内存区域包含一个PE标头。该工具首先扫描运行过程,并分析分配的存储区域特征以检测反射性DLL加载症状。可疑的记忆区域被确定为DLL模块,以进行进一步的分析和研究。
此外,该工具具有以下选项:
丢弃折衷的过程。导出一个提供有关折衷流程的信息的JSON文件,例如过程名称,ID,路径,大小和基础地址。按名称搜索特定的加载模块。
Example
python.exe memscanner.py [-h] [-r] [-m模块]-h, - 赫尔普显示此帮助消息和退出
-r, - 反射剂寻找反射性dll加载
-m模块, - 模块,寻找Spcefic负载的DLL
The script needs administrator privileges in order incepect all processes.