? Process Memory Map.

• Нашел интересный софт, который очень похож на решение от Марка Руссиновича VMMap, но с некоторыми отличиями. Задача Process Memory Map проанализировать сторонний процесс и вытащить из него максимум данных, о которых она знает.

• Отображает следующие данные:
Данные по нитям, как то: стек, TEB, SEH фреймы и CallStack;
Информация по подгруженным PE файлам с разбивкой на секции, точки входа в каждый загруженный образ, их структуры;
Данные из PEB;
Данные из KUSER_SHARED_DATA;
Встроенный x86/x64 дизассемблер (на базе DiStorm).

• Предоставляет возможность:
Анализа памяти на предмет установленных перехватчиков в таблицах импорта/экспорта/отложенного импорта;
Анализа установленных перехватчиков в экспортируемых функциях, точках входа и TLS калбэках;
Анализа блоков памяти на основе их контрольных сумм (например отображение изменений во взломанном ПО);
Поиска в памяти процесса.

• Из дополнительных возможностей:
Выводит список экспортируемых функций;
Поддерживает отладочные MAP файлы. (влияет на список распознанных функций и выхлоп дизассемблера);
Отображает изменения в выделенных блоках памяти (alloc/realloc/free);
Быстрая подсказка по известным блокам памяти.

Вот тут более подробно: https://github.com/AlexanderBagel/ProcessMemoryMap

#ИБ #RE