آکادمی روزبه

این قسمت : آشنایی با ابزار ProcScan

hich is written in Ruby, can be used to scan process memory looking for code injection. Unfortunately, it only works for 32-bit systems? applications? and does not support 64-bit systems/applications. You can download the tool

این ابزار به زبان رابی نوشته شده است . با کمک از آن میتوانید در حافظه به دنبال پراسس هایی باشید که شما را به کشف  تزریق کد(Code Injection) رهنمایی میکنند . متاسفانه این ابزار فعلا برای برنامه های سیستم های 32 بیتی کاربرد دارد .

هملنطور که در شکل فوق ملاحظه میکنید ThreadId=2516 راشناسایی کرده است .اما نکته منفی آن است که این ابزار به ما PID  یعنی ID  پراسس والد را نمیدهند.

چه بد !! اشکالی ندارد میرویم سراغ پاور شل !:)

با دستور زیر در پاور شل ، لیست کل پراسس های در حال اجرا را میگیریم :get-process

آنوقت همانطور که در شکل زیر میبینید ID  مرتبط یا rundll32  را بیرون کشیده ایم .

برای اطمینان بیشتر ، دستور زیر را در پاور شل بزنید و ID  خروجی را ببینید:

ps | % {$_.Name ; $_.Threads} | % {“`t{0}” –f $_.ID}}