shed

Shed - это приложение, которое позволяет осмотреть время выполнения .NET программы для извлечения полезной информации. Его можно использовать для осмотра вредоносных приложений, чтобы иметь первый общий обзор того, какая информация хранится после выполнения вредоносного ПО.

Сарай способен:

• Введите сборку .NET в удаленном процессе (как управляемый, так и не управляемый)
• Извлеките все объекты, хранящиеся в управляемой куче
• Печать строк хранится в памяти
• Сохраните снимок кучи в формате JSON для постобработки
• Сбросить все модули, которые загружаются в память

• Исходный код
• Скачать бинарный

Сарай - это инструмент командной строки. Чтобы отобразить все доступные параметры запуска:

shed.exe --help

Чтобы осмотреть уже запущенный процесс, вы должны пройти PID, чтобы пролить . Пример:

Shed.exe --pid 2356

Чтобы осмотреть двоичный файл, Shed должен выполнить его и прикрепить к нему, чтобы осмотреть время выполнения. Пример:

Shed.exe --exe malware.exe

Вы также можете указать количество времени (в миллисекундах), чтобы подождать, прежде чем приостановить процесс. Это позволит программе иметь время для инициализации ее свойств. Пример:

Shed.exe --timeout 2000 --exe malware.exe

С сараем можно ввести сборку .NET в удаленном процессе благодаря библиотеке управляющих. Для этого необходимо указать PID процесса и EXE для инъекции. После того, как сборка вводится, возможно активировать ее, вызывая конкретный метод. Правила для определения метода наследуются проектом управляемого управления и являются следующими:

• Вы должны указать полное имя метода, чтобы вызвать (например, this.is.my.namespace.class.method )
• Вы можете ввести исполняемый файл, который определяет метод входа для выполнения (например, консольный проект)
• Вы можете определить метод со следующей подписью: <public | private> static void inject ()

Например, для того, чтобы внедрить сборку ввода в процесс с PID 1234 , у вас есть сарай с помощью следующей команды:

shed.exe --pid 1234 --exe InjectedAssembly.dll --inject

С помощью опции -Method вы можете указать метод, от injectedassembly.exe , чтобы вызвать.

Найдите ниже пример исполнения:

По умолчанию сбрасывайте как кучу, так и модули. Если вы хотите только один из этого, укажите опцию «dump-heap» , чтобы сбрасывать только объекты в куче или модули--дамп, чтобы сбрасывать только модули.

Сброс кучи может дать много информации, которые не являются строго полезными для анализа. Вы можете отфильтровать его, используя два файла:

Blacklist.txt Этот файл содержит префикс имен типов, который не должен регистрироваться

WhiteList.txt Этот файл содержит префикс имен типов, который должен быть зарегистрирован, даже если

Например, если вы хотите отфильтровать все пространство имен System.io , но вы заинтересованы в системе журнала .

В папке «Примеры» вы найдете три различных проекта, которые вы можете использовать, чтобы проверить сарай . Пример:

Shed.exe --exe ..ExamplesConfigurationSampleConfigurationSample.exe

Когда анализ будет завершен, сарай будет печатать там, где вы можете найти результат, как показано ниже:

[+] Результат, сохраненный в C: shed result 7800

Если вы установили Visual Studio, просто запустите пакетный файл build.bat, он создаст zip -файл в папке сборки.

Copyright (C) 2017 Antonio Parata - @S4tan

Лицензия: Генеральная публичная лицензия GNU, версия 2 или более поздней версии; Смотрите лицензию, включенную в этот архив для деталей.