10 abr 2017

Publicamos WinProcDump Alpha 0.1.0

Buenas a todos, en el post de hoy queríamos compartir con vosotros una nueva herramienta que hemos iniciado desde Flu Project, a la que hemos denominado WinProcDump. Se trata de un sencillo programa de consola, desarrollado completamente en C, para manipular la memoria RAM durante un proceso de pentest a entornos Windows.

Por el momento, la herramienta, aún en fase inicial alpha, permite listar los procesos del sistema operativo, ver algo de información del proceso seleccionado, y volcar el contenido de la memoria asociada del proceso a un archivo en crudo, o en formato hexadecimal.

El código fuente y el binario compilado os los hemos dejado en nuestra cuenta de Github, para que podáis jugar con él, aprender y aportar todas vuestras ideas:


No tenemos un rumbo fijado con esta herramienta concreta, e iremos evolucionándola según vuestros comentarios. Por el momento, nos gustaría añadir funcionalidades para buscar datos en memoria, cómo contraseñas, y manipular información en caliente.

El funcionamiento es el siguiente. Tras iniciar el ejecutable "winprocdump.exe", pulsáis la primera opción para listar los procesos del sistema:




A continuación podréis, con la segunda de las opciones, obtener bastante información del proceso (nombre, dirección de memoria dónde comienza, módulos, etc.):


Con la tercera de las opciones podréis volcar un proceso a un fichero:



Y generará un archivo con extensión .dmp, que podréis abrir con cualquier editor de textos. Por ejemplo, a continuación podremos ver un volcado del navegador Google Chrome, con el que podremos ver por ejemplo las páginas visitadas:


Compartid vuestras ideas con nosotros, proponed mejoras para la herramienta y las iremos compartiendo con la comunidad a través de nuestra cuenta de Github..

Saludos!

2 comentarios:

  1. Saludos Juan Antonio, tengo un proceso .Bat que hace una llamada de subprocesos en javascript peroe gustaría monitorear si estos procesos no están ejecutándose y como ejecutarlos y por powershell solo veo el proceso .Bat este módulo me permite ver los sub procesos del .Bat?

    ResponderEliminar
  2. Probaste con process explorer de sysinternals? Winprocdump te ayudará a ver los módulos cargados en memoria también

    Saludos!

    ResponderEliminar