Подскажите инструментарий, и способы снятия.

| Сообщение посчитали полезным:

CFF Explorer худо-бедно дампит. Точнее, входящий в состав Task explorer.
А вообще на паблике тулз под это дело маловато пока, но там и протов на пальцах пересчитать.

| Сообщение посчитали полезным: Fairhawk

Archer пишет:
но там и протов на пальцах пересчитать

ну ето все дело относительное, не успеем оглянуться а они уже тут как тут
как там говорят - прогресс идет по експоненте?

| Сообщение посчитали полезным:

Ещё есть программка CHimpREC

| Сообщение посчитали полезным:

А Windbg и .writemem не пробовали? Или из иды прямо через IDC, функция savefile().

-----
Реверсивная инженерия - написание кода идентичного натуральному

| Сообщение посчитали полезным:

PeTools не дампит разве? Помнится поддержка 64 pe там есть.

| Сообщение посчитали полезным:

Fairhawk, а импорт чем восстанавливать будете в dll?

| Сообщение посчитали полезным:

CHimpREC 64

| Сообщение посчитали полезным:

Nightshade, разве он работает с dll?

| Сообщение посчитали полезным:

> PeTools не дампит разве? Помнится поддержка 64 pe там есть.

Петулс весьма странно ведет себя на х64 машинх.
Процесс показывает как system, без зависимостей, но дампит таки иногда, но только в ручном режиме (dump region).
Намучался уже - неужели нет дампера нормального под семеру? под х64 - это вопще жопа, даже под ring-3 или не дампитс0, или в дампе полный гуан. тока драйвера спасают

| Сообщение посчитали полезным:

32 процесс неможет читать память 64 битного выше 0xFFFFFFFF плюс не все 64 процессы можно открыть с помощью 32 битного. Как уже говорилось WinDbg .writemem спасает.

| Сообщение посчитали полезным:

Понекрофилю.
Не появилось чего для восстановления импорта в х64 длл?
Дампится идой нормально, а вот таблицу импорта восстанавливать нечем. Руками чоль набивать?

-----
старый пень

| Сообщение посчитали полезным:

Из паблик софта-chimprec+софт был http://deroko.phearless.org/rce.html от дероко, но сам не юзал ни один из них.
З.Ы. BoRoV, не списывай у меня!

| Сообщение посчитали полезным:

imp64
CHimpREC

Ни одна не катит?
PS не надо, я первый. ты просто успел место забить выше.

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

Не увидел там по поводу DLL ничего. Процесс без проблем обрабатывается чимпреком, а вот длл-ли не предусмотрены.

-----
старый пень

| Сообщение посчитали полезным:

Для длл ещё и релоки могут понадобиться, хотя могут и нет. А под это я не видел софта. Как вариант-можешь куда-нить закинуть, может, кто санпачит. Либо самому софт рисовать.

| Сообщение посчитали полезным:

Archer
С релоками проблем нет. А под импорт, видимо, прийдется писать.
p.s. Да уж, все чаще х64 появляется.

-----
старый пень

| Сообщение посчитали полезным:

А что там с PETools, проект заглох? Очень удобная тулза, но сильно не хватает поддержки x64 и кернелмод дампинга. Неужели нельзя дописать?

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным:

Выдались ударные выходные - написал свой импрек64. Основное отличие от других - можно дампить отдельные модули, а не только процесс.
http://rghost.net/14980111
R - Refresh processes
D - Dump module
I - Get imports
F - Fix dump
A - просто кнопка
Все адреса задаются как VA (не RVA) в хексе.

-----
старый пень

| Сообщение посчитали полезным: obfuskator

ntldr
не заглох

ntldr пишет:
сильно не хватает поддержки x64 и кернелмод дампинга
за подробностями отписал в личку, чтобы не флудить тут

-----
EnJoy!

| Сообщение посчитали полезным:

r_e, свое или частично дероко?

| Сообщение посчитали полезным:

Полностью свое. Могу сырец ПМнуть. Но поскольку первая версия - там половину переделать надо для красоты.
В выложенной версии есть баг - не фиксится ModuleBase - релоки слетают.

-----
старый пень

| Сообщение посчитали полезным: