問題タブ [malware-detection]

移植可能な実行可能ファイルの分析に役立つように設計されたツールは多数あります。たとえば、PE エクスプローラー。ファイルをロード.exeして、セクションの数、セクションの配置、特定のセクションの仮想アドレスなどを確認できます。

同じことを可能にする同様のツールはありますが、すでにメモリにロードされているポータブル実行可能ファイルはありますか? .exeそのファイルへのアクセスなしですか？

編集：

たぶん、私が達成しようとしていることを明確にしようとします。(@0x90 が提案したように) 2 つのアプリケーション、または 3 つのアプリケーションがあるとします。

app1.exe - ユーザーによって実行され、app3.exe に基づいて新しいプロセスを作成し、app2.exe を配置してそのメモリを変更します。

app2.exe - app1.exe によって app3.exe メモリに挿入されます。

app3.exe - 新しいプロセスの作成に使用されます。

私は 3 つのアプリケーションすべてのソースを持っています。私は単に、注入/プロセスの中空化を使用した実践的な演習によって、Windows の内部構造について学ぼうとしています。app1.exe に次のようなバグがあります。

そして、この状況をデバッグする方法を見つけようとしています。私の考えは、ディスク上の PE とメモリ内の PE を比較し、それが正しいかどうかを確認することでした。そのような提案用に設計されたツールが見つからないことに驚きました。

Volatility プラグインを作成して、マルウェアが使用する構成ファイルをメモリ ダンプから抽出しようとしています。ただし、ルート権限なしでこのプラグインを (「sudo」なしで) 実行すると、プラグインは行 yara.compile でクラッシュします。このプラグインを「sudo」で実行すると、yara.compile 行の後のコードが実行されません。yara.compile がこの問題を引き起こしている理由がわかりません。誰かがこれで私を助けてくれますか? 以下は私が書いたコードです：

そのため、このプラグインをルート権限で実行すると、「print 'after yara compile'」という行が実行されません。その理由は何ですか？ありがとうございました。

ある実行ファイルのフォーマットを分析していたところ、 にベース再配置テーブルが見つかりましたimage_optional_header。このベース再配置テーブルとは何ですか?

Google Chrome 44 から 45 の最新のアップデートで、clickonce アプリケーションがブロックされているようです。

当社の clickonce アプリケーションは正常に動作しており、数週間以上にわたって運用されています。今朝、ユーザーがアプリケーションをダウンロードしようとすると、ダウンロード タブに次のメッセージが表示されるという報告を受けました。そのメッセージをクリックすると、確認ダイアログが表示され、それが受け入れられると、ユーザーはアプリケーション ファイルをダウンロードできます。

clickonce アプリケーションで同じ経験をした人は他にいますか?それを回避する方法はありますか?

アイデア/ヘルプをありがとう！

（悲しいことに、私は画像を投稿するのに十分な評判がありません。申し訳ありません）

エリア

jquery マルウェアに精通している方からの助けを求めています。私は自分の WordPress Web サイトで注入されたスクリプトに感染しており、24 時間後に Header.php から注入されたコードを削除するたびに、ホスティング サーバーの Header.php ファイルに変更されたバージョンが挿入されています。

私を夢中にさせます。サイトは www.icrsolutions.co.uk で、スクリプトは次のとおりです。

APK から API 呼び出し/システム呼び出しシーケンスを抽出するにはどうすればよいですか? APK からソース コードを逆コンパイルしました。そのアプリによって行われたすべてのシステム コールをソース コードから抽出できるツールがあるかどうかを知りたいです。

.doc ファイルの分析中に問題が発生しました。カッコウサンドボックス付き。カッコウ ログのリンクは次のとおりです: https://img3.picload.org/image/pwarlpp/index.jpeg

ご覧のとおり、QueueUserAPC インジェクションは失敗しますが、その理由はわかりません。何か案は？

ご挨拶