الصفحة الرئيسية>كود المصدر JSP>فئات أخرى
تنزيل

سقيفة - .net مفتش وقت التشغيل

Shed هو تطبيق يسمح بفحص وقت تشغيل .NET للبرنامج من أجل استخراج معلومات مفيدة. يمكن استخدامه لتفقد التطبيقات الضارة من أجل الحصول على نظرة عامة عامة على المعلومات التي يتم تخزينها بمجرد تنفيذ البرامج الضارة.

سقيفة قادرة على:

  • حقن مجموعة .NET في عملية عن بُعد (تم إدارتها وغير مُدارة)
  • استخراج جميع الكائنات المخزنة في الكومة المدارة
  • طبعات طباعة مخزنة في الذاكرة
  • احفظ لقطة الكومة بتنسيق JSON لما بعد المعالجة
  • تفريغ جميع الوحدات التي يتم تحميلها في الذاكرة

تحميل

  • رمز المصدر
  • تنزيل ثنائي

باستخدام سقيفة

سقيفة هي أداة سطر الأوامر. لعرض جميع الخيارات المتاحة تشغيل:

shed.exe --help

فحص تطبيق التشغيل بالفعل

من أجل فحص عملية التشغيل بالفعل ، يجب عليك تمرير PID للتخلص منها . مثال:

Shed.exe --pid 2356

فحص ثنائي

من أجل فحص ثنائي ، يحتاج Shed إلى تنفيذه والتعلق به من أجل فحص وقت التشغيل. مثال:

Shed.exe --exe malware.exe

يمكنك أيضًا تحديد مقدار الوقت (بالميلي ثانية) للانتظار قبل تعليق العملية. سيسمح هذا للبرنامج بوجود الوقت لتهيئة خصائصه. مثال:

Shed.exe --timeout 2000 --exe malware.exe

حقن التجميع في عملية بعيدة

مع سقيفة يمكن حقن مجموعة .NET في عملية عن بُعد بفضل مكتبة ManagedInjector. من أجل القيام بذلك ، من الضروري تحديد PID للعملية و EXE للحقن. بمجرد أن يتم حقن التجميع ، من الممكن تنشيطه عن طريق استدعاء طريقة محددة. ترث قواعد تحديد الطريقة بواسطة مشروع ManagedInjector وما يلي:

  • يجب عليك تحديد اسم الطريقة الكاملة للاستدعاء ( على سبيل المثال
  • يمكنك ضخ قابلة للتنفيذ تحدد طريقة نقطة الدخول لتنفيذ (مثل مشروع وحدة التحكم )
  • يمكنك تحديد طريقة مع signatue التالية: <public | private> static void juck ()

على سبيل المثال ، لحقن التجميع حقن المعدة في العملية مع PID 1234 ، لديك سقيفة الجري مع الأمر التالي:

shed.exe --pid 1234 --exe InjectedAssembly.dll --inject

مع خيار -ميثود ، يمكنك تحديد طريقة ، من enjectedAssembly.exe إلى الاستدعاء.

ابحث أدناه مثال على التنفيذ:

خيارات الإغراق

بشكل افتراضي سقيفة تفريغ كل من الكومة والوحدات النمطية. إذا كنت تريد واحدة فقط من ذلك ، حدد خيار -تفريغ الوخز لتفريغ الكائنات فقط في الكومة أو -منفدات التفريغ لتفريغ الوحدات النمطية فقط.

يمكن أن يؤدي إلقاء الكومة إلى إنتاج الكثير من المعلومات التي ليست مفيدة للغاية للتحليل. يمكنك تصفيةه باستخدام ملفين:

BlackList.txt يحتوي هذا الملف على بادئة الأسماء التي يجب عدم تسجيلها

bhitelist.txt يحتوي هذا الملف على بادئة الأسماء التي يجب تسجيلها حتى لو تم إدراجها في القائمة السوداء

على سبيل المثال ، إذا كنت ترغب في تصفية جميع مساحة اسم System.io ولكنك مهتمًا بتسجيل System.io.io.memorystream ، فيمكنك إضافة القيمة الأولى إلى BlackList.txt والثاني إلى القائمة البيضاء .

أمثلة

في مجلد الأمثلة ، ستجد ثلاثة مشاريع مختلفة يمكنك استخدامها من أجل اختبار Shed . مثال:

Shed.exe --exe ..ExamplesConfigurationSampleConfigurationSample.exe

عند اكتمال التحليل ، ستطبع Shed حيث يمكنك العثور على النتيجة ، كما هو موضح أدناه:

[+] النتيجة المحفوظة إلى C: shed result 7800

بناء سقيفة

إذا قمت بتثبيت Visual Studio ، فما عليك سوى تشغيل ملف Build.bat ، فسيقوم بإنشاء ملف مضغوط داخل مجلد الإنشاء.

معلومات الترخيص

حقوق الطبع والنشر (C) 2017 Antonio Parata - @s4tan

الترخيص: رخصة GNU العامة العامة ، الإصدار 2 أو أحدث ؛ انظر الترخيص المدرج في هذا الأرشيف للحصول على التفاصيل.

يوسع
معلومات إضافية
تطبيقات ذات صلة
نوصي لك
أخبار ذات صلة الكل