หน้าแรก>ซอร์สโค้ด JSP>หมวดหมู่อื่นๆ
ดาวน์โหลด

Shed -. NET Runtime Inspector

Shed เป็นแอปพลิเคชันที่อนุญาตให้ตรวจสอบ. NET Runtime ของโปรแกรมเพื่อแยกข้อมูลที่เป็นประโยชน์ สามารถใช้ในการตรวจสอบแอปพลิเคชันที่เป็นอันตรายเพื่อให้มีภาพรวมทั่วไปครั้งแรกของข้อมูลที่เก็บไว้เมื่อมีการดำเนินการมัลแวร์

เพิง สามารถ:

  • ฉีดแอสเซมบลี. NET ในกระบวนการระยะไกล (ทั้งการจัดการและไม่ได้รับการจัดการ)
  • แยกวัตถุทั้งหมดที่เก็บไว้ในกองที่มีการจัดการ
  • พิมพ์สตริงที่เก็บไว้ในหน่วยความจำ
  • บันทึกภาพรวมของกองในรูปแบบ JSON สำหรับการโพสต์การประมวลผล
  • ทิ้งโมดูลทั้งหมดที่โหลดในหน่วยความจำ

การดาวน์โหลด

  • รหัสต้นฉบับ
  • ดาวน์โหลดไบนารี

ใช้โรงเก็บของ

Shed เป็นเครื่องมือบรรทัดคำสั่ง ในการแสดงตัวเลือกที่มีอยู่ทั้งหมดรัน:

shed.exe --help

ตรวจสอบแอปพลิเคชันที่กำลังทำงานอยู่แล้ว

ในการตรวจสอบกระบวนการที่ทำงานอยู่แล้วคุณต้องส่ง PID ไปยัง โรงเก็บของ ตัวอย่าง:

Shed.exe --pid 2356

ตรวจสอบไบนารี

ในการตรวจสอบไบนารี โรงเก็บของ จำเป็นต้องดำเนินการและแนบไปกับมันเพื่อตรวจสอบรันไทม์ ตัวอย่าง:

Shed.exe --exe malware.exe

นอกจากนี้คุณยังสามารถระบุระยะเวลา (เป็นมิลลิวินาที) เพื่อรอก่อนที่จะระงับกระบวนการ สิ่งนี้จะช่วยให้โปรแกรมมีเวลาเริ่มต้นคุณสมบัติ ตัวอย่าง:

Shed.exe --timeout 2000 --exe malware.exe

การฉีดแอสเซมบลีในกระบวนการระยะไกล

ด้วย Shed เป็นไปได้ที่จะฉีดแอสเซมบลี. NET ในกระบวนการระยะไกลด้วยไลบรารีที่มีการจัดการ ในการทำเช่นนั้นจำเป็นต้องระบุ PID ของกระบวนการและ EXE เพื่อฉีด เมื่อการประกอบถูกฉีดเป็นไปได้ที่จะเปิดใช้งานโดยการเรียกใช้วิธีการเฉพาะ กฎในการระบุวิธีการนั้นมีอยู่ในโครงการ ที่มีการจัดการ และมีดังต่อไปนี้:

  • คุณต้องระบุชื่อวิธีทั้งหมดเพื่อเรียกใช้ (เช่น this.is.my.namespace.class.method )
  • คุณสามารถฉีดยาที่กำหนดวิธี การ entrypoint เพื่อดำเนินการ (เช่นโครงการ คอนโซล )
  • คุณสามารถกำหนดวิธีการด้วย signatue ต่อไปนี้: <สาธารณะ | ส่วนตัว> การฉีดโมฆะแบบคงที่ ()

ตัวอย่างเช่นในการฉีดชุด ประกอบฉีด เข้าไปในกระบวนการด้วย PID 1234 คุณมี การรันที่ มีคำสั่งต่อไปนี้:

shed.exe --pid 1234 --exe InjectedAssembly.dll --inject

ด้วยตัวเลือก -วิธีการ คุณสามารถระบุวิธีการจาก injectedAssembly.exe ถึงเรียกใช้

ค้นหาตัวอย่างด้านล่างของการดำเนินการ:

ตัวเลือกการทิ้ง

โดยค่า เริ่มต้น การถ่ายโอนข้อมูลทั้งกองและโมดูล หากคุณต้องการเพียงหนึ่งเดียวเท่านั้นที่ระบุตัวเลือก -ทุ่มตลาด เพื่อถ่ายโอนข้อมูลเฉพาะวัตถุในฮีปหรือ -โมดูล-ดัมม์ เพื่อถ่ายโอนข้อมูลเฉพาะโมดูลเท่านั้น

การทิ้งกองสามารถสร้างข้อมูลจำนวนมากซึ่งไม่เป็นประโยชน์อย่างเคร่งครัดสำหรับการวิเคราะห์ คุณสามารถกรองได้โดยใช้สองไฟล์:

blacklist.txt ไฟล์นี้มีคำนำหน้าประเภทชื่อที่ต้องไม่ถูกบันทึก

whitelist.txt ไฟล์นี้มีคำนำหน้าประเภทชื่อที่ต้องเข้าสู่ระบบแม้ว่า Blacklisted

ตัวอย่างเช่นหากคุณต้องการกรอง namespace system.io ทั้งหมด แต่คุณสนใจที่จะเข้าสู่ ระบบ System.io.memorystream คุณสามารถเพิ่มค่าแรกให้กับ Blacklist.txt และอันที่สองถึง Whitelist.txt

ตัวอย่าง

ในโฟลเดอร์ ตัวอย่าง คุณจะพบโครงการที่แตกต่างกันสามโครงการที่คุณสามารถใช้เพื่อทดสอบ โรงเก็บของ ตัวอย่าง:

Shed.exe --exe ..ExamplesConfigurationSampleConfigurationSample.exe

เมื่อการวิเคราะห์เสร็จสิ้น โรงเก็บ จะพิมพ์ที่คุณสามารถค้นหาผลลัพธ์ดังที่แสดงด้านล่าง:

[+] ผลลัพธ์ที่บันทึกไว้ที่ C: shed result 7800

สร้างโรง

หากคุณติดตั้ง Visual Studio เพียงเรียกใช้ไฟล์ build.bat batch มันจะสร้างไฟล์ zip ภายในโฟลเดอร์สร้าง

ข้อมูลใบอนุญาต

ลิขสิทธิ์ (c) 2017 Antonio Parata - @S4TAN

ใบอนุญาต: GNU ทั่วไปใบอนุญาตสาธารณะรุ่น 2 หรือใหม่กว่า; ดูใบอนุญาตที่รวมอยู่ในที่เก็บถาวรนี้สำหรับรายละเอียด

ขยาย
ข้อมูลเพิ่มเติม
แอปที่เกี่ยวข้อง
แนะนำสำหรับคุณ
ข้อมูลที่เกี่ยวข้อง ทั้งหมด