Buenas a todos, en el post de hoy queríamos compartir con vosotros una nueva herramienta que hemos iniciado desde Flu Project, a la que hemos denominado WinProcDump. Se trata de un sencillo programa de consola, desarrollado completamente en C, para manipular la memoria RAM durante un proceso de pentest a entornos Windows.
Por el momento, la herramienta, aún en fase inicial alpha, permite listar los procesos del sistema operativo, ver algo de información del proceso seleccionado, y volcar el contenido de la memoria asociada del proceso a un archivo en crudo, o en formato hexadecimal.
El código fuente y el binario compilado os los hemos dejado en nuestra cuenta de Github, para que podáis jugar con él, aprender y aportar todas vuestras ideas:
No tenemos un rumbo fijado con esta herramienta concreta, e iremos evolucionándola según vuestros comentarios. Por el momento, nos gustaría añadir funcionalidades para buscar datos en memoria, cómo contraseñas, y manipular información en caliente.
El funcionamiento es el siguiente. Tras iniciar el ejecutable "winprocdump.exe", pulsáis la primera opción para listar los procesos del sistema:
El funcionamiento es el siguiente. Tras iniciar el ejecutable "winprocdump.exe", pulsáis la primera opción para listar los procesos del sistema:
A continuación podréis, con la segunda de las opciones, obtener bastante información del proceso (nombre, dirección de memoria dónde comienza, módulos, etc.):
Con la tercera de las opciones podréis volcar un proceso a un fichero:
Y generará un archivo con extensión .dmp, que podréis abrir con cualquier editor de textos. Por ejemplo, a continuación podremos ver un volcado del navegador Google Chrome, con el que podremos ver por ejemplo las páginas visitadas:
Compartid vuestras ideas con nosotros, proponed mejoras para la herramienta y las iremos compartiendo con la comunidad a través de nuestra cuenta de Github..
Saludos!
Saludos Juan Antonio, tengo un proceso .Bat que hace una llamada de subprocesos en javascript peroe gustaría monitorear si estos procesos no están ejecutándose y como ejecutarlos y por powershell solo veo el proceso .Bat este módulo me permite ver los sub procesos del .Bat?
ResponderEliminarProbaste con process explorer de sysinternals? Winprocdump te ayudará a ver los módulos cargados en memoria también
ResponderEliminarSaludos!