Дамп dll - eXeL@B

Сейчас на форуме: bezumchik, tyns777, Lohmaty (+7 невидимых)

Посл.ответ	Сообщение
Crawler Ранг: 216.9 (наставник), 85thx Активность: 0.31↘0.15 Статус: Участник X-Literator	Создано: 16 апреля 2019 16:43 · Личное сообщение · #1 Господа, у меня довольно нубский вопрос. Есть dll, загруженная в память процесса (допустим, это произошло не с диска), и требуется ее сдампить и привести в работоспособный вид. Какие шаги для этого конкретно нужно выполнить? Прочитать заголовок, пройтись по всем секциям и скопировать их, поправить IAT - так не заработает? Давно этим не занимался, буду благодарен за любую помощь. ----- Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 16 апреля 2019 17:01 · Личное сообщение · #2 Всё стандартно, как и для ехе (дамп+импорт), и ещё +релоки. \| Сообщение посчитали полезным: Crawler
BfoX Ранг: 397.0 (мудрец), 179thx Активность: 0.17↘0.1 Статус: Участник	Создано: 16 апреля 2019 17:03 · Личное сообщение · #3 Crawler Code: Process Dump v2.1 Copyright В© 2017, Geoff McDonald http://www.split-code.com/ https://github.com/glmcdona/Process-Dump Process Dump (pd.exe) is a tool used to dump both 32 and 64 bit executable modules back to disk from memory within a process address space. This tool is able to find and dump hidden modules as well as loose executable code chunks, and it uses a clean hash database to exclude dumping of known clean files. This tool uses an aggressive import reconstruction approach that links all DWORD/QWORDs that point to an export in the process to the corresponding export function. Process dump can be used to dump all unknown code from memory ('-system' flag), dump specific processes, or run in a monitoring mode that dumps all processes just before they terminate. ----- ...или ты работаешь хорошо, или ты работаешь много... \| Сообщение посчитали полезным: Crawler, mak, plutos, Artem_N

Для печати