123
Process Dump

Process Dump

从特定进程或当前正在运行的所有进程中转储内存组件。支持创建和使用干净哈希数据库,因此可以跳过所有干净文件(例如kernel32.dll)的转储。
进程转储适用于Windows 32和64位操作系统,可以转储特定进程或当前正在运行的所有进程中的内存组件。Process Dump支持创建和使用干净哈希数据库,因此可以跳过所有干净文件(例如kernel32.dll)的转储。它的主要功能包括:转储来自特定进程或所有进程的代码。查找并转储未在进程中正确加载的隐藏模块。查找并转储松散的代码块,即使它们与PE文件没有关联。它为块构建一个PE标头和导入表。使用积极的方法重建进口。可以在关闭转储监控器模式('-closemon')中运行,在该模式下,进程将在终止之前被暂停和转储。多线程的,所以当您转储所有正在运行的进程时,它将很快进行。可以生成干净的哈希数据库。在计算机感染恶意软件之前生成此文件,因此Process Dump仅转储新的恶意软件组件。...

分类目录

Windows版Process Dump的替代品

PE-sieve

PE-sieve

PE-sieve扫描给定的过程,搜索包含内存中代码修改的模块。找到后,它将转储修改后的PE。检测嵌入式挂钩,挖空的进程,进程Doppelgänging等。可用于解压缩恶意软件。