shed

SHED是一個允許檢查程序的.NET運行時的應用程序，以提取有用的信息。它可用於檢查惡意應用程序，以便在執行惡意軟件後首先存儲信息的第一個一般概述。

棚子能夠：

• 在遠程過程中註入.NET組件（託管和未管理）
• 提取存儲在託管堆中的所有對象
• 存儲在內存中的打印字符串
• 將堆的快照以JSON格式保存用於後處理
• 傾倒所有已加載在內存中的模塊

• 原始碼
• 下載二進制

棚是一個命令行工具。顯示所有可用選項運行：

shed.exe --help

為了檢查已經運行的過程，您必須將PID傳遞給棚子。例子：

Shed.exe --pid 2356

為了檢查二進製文件，棚子需要執行並將其附加到它上以檢查運行時。例子：

Shed.exe --exe malware.exe

您還可以指定（以毫秒為單位）等待該過程的時間（以毫秒為單位）。這將使程序有時間初始化其屬性。例子：

Shed.exe --timeout 2000 --exe malware.exe

通過託管原則庫，使用SHED可以在遠程過程中註入.NET組件。為了這樣做，有必要指定過程的PID和EXE進行注入。一旦注入組件，就可以通過調用特定方法來激活它。識別該方法的規則是由託管項目繼承的，如下：

• 您必須指定要調用的完整方法名稱（例如this.is.my.namespace.class.method ）
• 您可以注入一個可執行的可執行文件，該可執行文件定義了執行的入口點方法（例如控制台項目）
• 您可以使用以下簽名來定義一種方法： <public | private> static void inject（）

例如，要使用PID 1234將彙編注射到該過程中，您的運行棚具有以下命令：

shed.exe --pid 1234 --exe InjectedAssembly.dll --inject

使用-Method選項，您可以從InjectedAssembly.exe中指定一種方法。

在下面查找執行示例：

默認情況下，棚子將堆和模塊都轉儲。如果您只想其中一個指定- 降低選項，僅將對像或- 降低模型僅轉儲僅轉儲模塊。

傾倒堆可能會產生很多信息，這些信息對於分析並不嚴格有用。您可以使用兩個文件過濾它：

BlackList.txt此文件包含不得登錄的類型名稱前綴

Whitelist.txt此文件包含即使被黑名單也必須記錄的類型名稱前綴

例如，如果要過濾所有system.io命名空間，但是您對logging system.io.memorystream感興趣，則可以將第一個值添加到blackList.txt ，第二個值將其添加到flayelist.txt 。

在示例文件夾中，您會找到可以使用的三個不同的項目來測試棚子。例子：

Shed.exe --exe ..ExamplesConfigurationSampleConfigurationSample.exe

分析完成後，棚子將打印在可以找到結果的地方，如下所示：

[+]結果保存到C： shed result 7800

如果您已經安裝了Visual Studio，則只需運行build.bat批處理文件，它將在構建文件夾中創建一個zip文件。

版權（c）2017 Antonio Parata - @s4tan

許可證：GNU通用公共許可證，第2版或更高版本；有關詳細信息，請參見此檔案中包含的許可證。