0x1 PE Tools介绍
PE Tools工具可以获取系统中正在运行的所有进程的列表。程序主窗口分为上下两个部分,上半部分显示的是正在运行的进程,下半部分显示的是当前所选进程中加载的DLL模块。
0x2 进程内存转储
Dump:将内存中的内容转存到文件。
这种转储技术用来查看正在运行的进程内存中的内容。文件 是 运行时解压缩文件状态时,其只有在内存中才以解压缩的形态存在。此时借助转储技术可以查看与源文件类似的代码和数据。
注意:使用PE保护器时,文件在内存中仍处于压缩与加密的状态,即便应用内存转储技术也往往无法准确把握文件内容,并且常常使用Anti-Dump技术给转储带来很大困难。
- Dump Full(完整转储)
PE Tools会检测PE文件头,并从基址开始转储SizeOflmage大小的区域(该区域是PE文件被加载到内存后的 映像大小)
PE Image(PE映像):运行普通PE文件时,其加载到内存中的形态即为PE映像,经常用来与PE文件区分。
- Dump Partial(部分转储)
该功能用来从相应进程内存的指定地址开始转储指定大小的部分。
- Dump Region(区域转储)
进程内存(用户区域)中所分配区域都被标识为某种状态,区域转储功能用于转储状态标识为COMMIT的内存区域。
0x3 PE编辑器
PE编辑器可以列出PE文件头的各种信息,可以对其进行修改。
