Сейчас на форуме: Rio, site-pro, -Sanchez-, artyavmu (+6 невидимых)

 eXeL@B —› Софт, инструменты —› WriteProcessMemory Monitor
Посл.ответ Сообщение

Ранг: 6.0 (гость), 8thx
Активность: 0.010
Статус: Участник

 Создано: 04 ноября 2011 10:15 · Поправил: Johnny Mnemonic
· Личное сообщение · #1

WriteProcessMemory API Monitor is a Windows OS utility designed solely to monitor processes in the system that write to other process’ virtual address spaces. Malware often uses such techniques in order to write payload stubs to a foreign process to hook an API, load a malware DLL etc. ntdll!NtWriteVirtualMemory is hooked in order to achieve the desired logging functionality in usermode.

WriteProcessMemory API Monitor displays the caller process and target process filenames as well as their respective process identifiers are shown along with the size of the buffer written to the process and the actual contents represented in hexadecimal of the buffer. The location of the written memory is also listed in hex for run-time reverse engineering convenience.

WriteProcessMemory API Monitor can easily be integrated into malware or rootkit test environments to help the security researcher reverse analyze a piece of malware alongside other powerful tools.

Screenshots


Features

Exclude System processes
Monitor WriteProcessMemory
Save logs to file on close
Very user-friendly GUI

Details
Version: 1.1.0.0
Operating System: Windows All | 32-bit ONLY
Last Update: 01.11.2011

Installer
http://downloads.novirusthanks.org/files/wpm_monitor_setup.exe

Portable
http://downloads.novirusthanks.org/files/portables/wpm_monitor_portable.zip



Ранг: 60.6 (постоянный), 20thx
Активность: 0.070
Статус: Участник

 Создано: 04 ноября 2011 10:32
· Личное сообщение · #2

Кто-то учился работать с хуками...



Ранг: 47.7 (посетитель), 17thx
Активность: 0.090
Статус: Участник

 Создано: 04 ноября 2011 12:07
· Личное сообщение · #3

Int 2e|sysenter -> profit.

| Сообщение посчитали полезным: Hexxx

Ранг: 191.8 (ветеран), 46thx
Активность: 0.170
Статус: Участник

 Создано: 05 ноября 2011 01:46
· Личное сообщение · #4

Что-то вспомнилось

http://cmp.phys.msu.su:8000/ntclub/win/pub/ntspy.html
http://cmp.phys.msu.su:8000/ntclub/zip/NTSpy.zip
http://cmp.phys.msu.su:8000/ntclub/zip/NTSpy_src.zip




Ранг: 238.8 (наставник), 67thx
Активность: 0.20
Статус: Участник
CyberHunter

 Создано: 05 ноября 2011 18:48 · Поправил: Flint
· Личное сообщение · #5

Я похожую поделку начинал делать ZwWriteVirtualMemory Dumper 1.0.

http://floomby.ru/content/gmQnsqnaVU

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным: Jupiter, SReg, Ratinsh, _ruzmaz_

Ранг: 191.8 (ветеран), 46thx
Активность: 0.170
Статус: Участник

 Создано: 06 ноября 2011 13:06
· Личное сообщение · #6

куда-нить на другой файлообменник можно?




Ранг: 104.9 (ветеран), 46thx
Активность: 0.040.02
Статус: Участник

 Создано: 06 ноября 2011 13:22
· Личное сообщение · #7

Ratinsh пишет:
куда-нить на другой файлообменник можно?


45d2_06.11.2011_EXELAB.rU.tgz - ZwWriteVirtualMemory Dumper 1.0.zip

| Сообщение посчитали полезным: Ratinsh, vnekrilov
 eXeL@B —› Софт, инструменты —› WriteProcessMemory Monitor
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати