与windows进程内存交互的库
invade的Python项目详细描述
入侵
invade是一个python 3库,用于与windows进程交互。常见用途:软件安全和恶意软件研究、逆向工程和pocs。
https://github.com/cgio/invade
https://pypi.org/project/invade
main.py中有四个类:
- me:用于操作环境信息
- scout:用于进程发现
- target:用于目标进程信息
- 工具:用于主操作
通用用例概述:
- 创建我的实例并检查操作环境的兼容性。
- 使用scout获取活动进程的列表和所需的pid(进程标识符)。
- 使用scout获得的pid实例化目标。
- 有关目标进程的信息,请检查目标实例属性。
- 使用工具方法与目标进程交互。
另一个常见的用例是invade相对快速的字节模式搜索和通配符支持。操作类似于IDA's“字节序列”搜索。使用tool.search_file_pattern()搜索磁盘上的文件。
tool.memory_read_pointers()也很有用。使用它,您可以在另一个进程中读取一系列动态分配的内存指针。该方法接受一个字符串,该字符串包含起始地址和带有公共算术运算符的相对指针。
有关更多信息和使用说明,请参阅main.py。
有关发行说明,请参阅release.md。
安装
python 3.6+是必需的
pip install invade
安装python的keystone。见Python module for Windows - Binaries。
安装python的capstone。见Python module for Windows - Binaries。
文件
内部/入侵:
- main.py:包含所有主代码和类
- winapi.py:包含Windows API代码
- version.py:包含版本信息
示例项目
- invade_debug_32:windows x86 32位非附加调试工具
- invade_keepass:keepass密码退出过滤
作者
查德·戈塞林(https://github.com/cgio)
学分
感谢您提供以下项目:
- Keystone:汇编程序框架
- Capstone:反汇编框架
- Cuckoo Sandbox:恶意软件分析框架
- pefile:pe文件框架
许可证
这个项目是由麻省理工学院授权的。有关详细信息,请参见LICENSE.md。这个项目只用于教育目的。使用风险自负。