X64dbg脚本实现自动DUMP运行中解密出的PE文件
X64dbg脚本实现自动DUMP运行中解密出的PE文件
// define a variable to hold allocated mem address
var mem_addr
// define a variable to hold allocated mem size
var mem_size// set breakpoint on VirtualAlloc
bp VirtualAlloc
// set callback on breakpoint hit
SetBreakpointCommand VirtualAlloc, "scriptcmd call cb_virtual_alloc"
// set breakpoint on VirtualProtect
bp VirtualProtect
// set callback on breakpoint hit
SetBreakpointCommand VirtualProtect, "scriptcmd call cb_virtual_protect"// go to main label
goto main// define VirtualAlloc callback label
cb_virtual_alloc:// run until return (stepout)rtr// set mem_addr value to cax value (return value)set mem_addr, cax// log memory addresslog "Allocated memory address: {x:mem_addr}"// set mem_size value to VirtualAlloc's second arg value (region size)set mem_size, arg.get(1)// log memory sizelog "Allocated memory size: {x:mem_size}"// go to main labelgoto main// define VirtualProtect callback label
cb_virtual_protect:// log VirtualProtect's second arg value (new protection)log "New protection: {x:arg.get(2)}"// compare the first 2 bytes at mem_addr address to "MZ"cmp word(mem_addr), 5a4d// if not equal, jump to main labeljne main// dump data at mem_addr address to disksavedata :memdump:, mem_addr, mem_size// define main label
main:// run the programrun// end the script
ret
X64dbg脚本实现自动DUMP运行中解密出的PE文件相关推荐
- c#文件名去掉后缀_C#如何从文件路径中分离出文件名以及文件扩展名
在C#文件操作的过程中或者Asp.Net文件的处理过程中,有时候知道文件的完整路径信息后,需要从完整路径中分离出文件名以及文件的后缀名等信息,此文将简要介绍C#语言如何从文件路径中分离出文件名以及文件 ...
- 从Excel文件中找出在TXT文件中没有出现的 行之_代码片段
#从data.txt(Excel文件)中找出一些不在target.txt(TXT文件)文件行中出现的行. #定义一个函数,判断ls中的每个单词是否出现在了mystring中了.如果全部都在,返回真de ...
- aes离线解密工具_如何在Python中解密OpenSSL AES加密文件?
OpenSSL为AES加密提供了一种流行的(但不安全 - 见下文!)命令行界面: openssl aes-256-cbc -salt -in filename -out filename.enc Py ...
- 苹果笔记本怎么找文件夹_如何在苹果笔记本中找出 “~/Library/Preferences/” 文件夹?...
一.iPhone访问限制密码找回教程(未越狱) 1.打开iTools,在左侧菜单栏找到"文件系统",依次打开/private/var/keychains/,在keychains文件 ...
- 删除Mac 系统中多出得MobileBackups 文件夹
此文件夹在timeMachine 开启时回自动记录备份操作 将导致Mac pro 的存储空间慢慢减少 解决方案如下 1.手动关掉time machine的移动时的备份功能 2.打开终端,这个命令 $ ...
- .NET程序在运行中创建EXE文件的技术
我曾开发过一个.NET应用,需要在运行中动态的创建EXE文件,当时查了很多资料后才顺利实现,有一些心得,整理出来. 要从你的.NET应用程序中动态的生成一个汇编你有两种选择:CodeDom和Refle ...
- 4.2 x64dbg 针对PE文件的扫描
通过运用LyScript插件并配合pefile模块,即可实现对特定PE文件的扫描功能,例如载入PE程序到内存,验证PE启用的保护方式,计算PE节区内存特征,文件FOA与内存VA转换等功能的实现,首先简 ...
- 12.4-在Qt中使用Log4Qt输出Log文件,看这一篇就足够了
文章目录 一.为啥要使用第三方Log库,而不用平台自带的Log库 二.Log4j系列库的功能介绍与基本概念 三.Log4Qt库的基本介绍 四.将Log4qt组装成为一个单独模块 五.使用配置文件的方式 ...
- linux误修改文件名恢复,如何在 Linux 中找出最近或今天被修改的文件-linux修改文件名...
Linux 用户在命令行上遇到的常见问题之一是定位具有特定名称的文件,如果你知道确定的文件名则可能会容易得假设你忘记了白天早些时候创建的文件的名称(在你包含了数百个文件的 home 文件夹中),但现在 ...
最新文章
- 网站地图能给网站的优化带来什么好处
- caffe预测、特征可视化python接口调用
- 只用最适合的! 全面对比主流 .NET 报表控件:水晶报表、FastReport、ActiveReports 和 Stimulsoft...
- C++语法细节注意集锦
- 从数学的角度来谈谈,孩子为什么要学编程!
- Ubuntu从零安装 Hadoop And Spark
- python数据结构递归树_python数据结构(对称二叉树递归和迭代)
- (计算机组成原理)第一章计算机系统概述-王道重点习题及杂项总结
- Excel Spreadsheet 转换web HTML 5 展示
- 绘制卡方分布的概率密度函数 matlab,MATLAB如何使用chi2pdf函数计算卡方分布的概率密度...
- 《CCNA学习指南:Cisco网络设备互连(ICND1)(第4版)》——2.6节TCP/IP协议栈
- 【通信原理 入坑之路】基于MATLAB的移动通信系统仿真 之 瑞利衰落信道的原理与仿真
- 【综合类型第 16 篇】W3School 离线手册最新版下载
- 电商后台管理系统分享
- Debug显示不支持opengl4,是双显卡未设置独立显卡模式
- selenium是python_selenium+Python(事件)
- 如何在wsl中安装kotlin编译器(简单有效)
- 插入式CAN总线隔离适配器LCAN-Opto在高空作业平台上隔离干扰、调理信号的应用案例介绍
- QT写word的三种方式
- 高等数学学习笔记——第六十四讲——偏导数