PE-sieve

PE-sieve

PE-sieve escanea un proceso dado, buscando los módulos que contienen modificaciones de código en memoria.Cuando se encuentra, descarga el PE modificado.Detecta ganchos en línea, procesos huecos, proceso Doppelgänging, etc. Se puede utilizar para desempaquetar malware.
PE-sieve escanea un proceso dado, buscando los módulos que contienen modificaciones de código en memoria.Cuando se encuentra, vuelca el PE modificado.Detecta ganchos en línea, procesos huecos, proceso Doppelgänging, etc. Se puede utilizar para desempaquetar malware.

Caracteristicas

Alternativas a PE-sieve para todas las plataformas con cualquier licencia

Process Dump

Process Dump

Vuelca componentes de memoria de procesos específicos o de todos los procesos que se ejecutan actualmente.Admite la creación y el uso de una base de datos de hash limpio, de modo que se pueda omitir el volcado de todos los archivos limpios como kernel32.dll.