場景
應急響應中從進程發現被注入了EXE文件,通過processhacker的Memory模塊dump出來注入的文件。PE修復后在IDA里反匯編查看這個惡意代碼的功能是什么。
解決
LordPE 虛擬內存對齊修復
【Section Table】
每個區段的
- VirtualAddress與RawOffset對齊
- VirtualSize與RawSize對齊
【Basic PE Header Information】
- 修復exe加載基地址和dump的內存地址
相關示例
LoadPE載入dump后的程序,查看區段信息,修正前
修正后
參考
傀儡進程內存Dump