Python 通过pywin32模块调用WindowsAPI接口,实现对特定进程加载模块的枚举输出并检测该PE程序模块所启用的保护方式,此处枚举输出的是当前正在运行进程所加载模块的DLL模块信息,需要用户传入进程PID才可实现输出。

  • 首先需要安装两个依赖包:
  • pip install pywin32
  • pip install pefile

然后再命令行模式下执行命令启动枚举功能。

# By: LyShark

import win32process

import win32api,win32con,win32gui

import os,pefile,argparse

def Banner():

    print("  _          ____  _                _    ")

    print(" | |   _   _/ ___|| |__   __ _ _ __| | __")

    print(" | |  | | | \___ \| '_ \ / _` | '__| |/ /")

    print(" | |__| |_| |___) | | | | (_| | |  |   < ")

    print(" |_____\__, |____/|_| |_|\__,_|_|  |_|\_\\")

    print("       |___/                             \n")

    print("E-Mail: me@lyshark.com")

def GetProcessModules(pid):

    ModuleList = []

    handle   = win32api.OpenProcess(win32con.PROCESS_ALL_ACCESS, False, pid )

    hModule  = win32process.EnumProcessModules(handle)

    for item in hModule:

        Module_Addr = hex(item)

        Module_Path = win32process.GetModuleFileNameEx(handle,item)

        Module_Name = os.path.basename(str(Module_Path))

        ModuleList.append([Module_Addr,Module_Name,Module_Path])

    win32api.CloseHandle(handle)

    return ModuleList

def CheckModulesProtect(ClassName):

    UNProtoModule = []

    if type(ClassName) is str:

        handle = win32gui.FindWindow(0,ClassName)

        threadpid, procpid = win32process.GetWindowThreadProcessId(handle)

        ProcessModule = GetProcessModules(int(procpid))

    else:

        ProcessModule = GetProcessModules(int(ClassName))

    print("-" * 100)

    print("映像基址\t\t模块名称\t基址随机化\tDEP保护兼容\t强制完整性\tSEH异常保护")

    # By: LyShark.com

    print("-" * 100)

    for item in ProcessModule:

        pe = pefile.PE(item[2])

        DllFlage = pe.OPTIONAL_HEADER.DllCharacteristics

        print("%10s"%(item[0]),end="\t")

        print("%21s"%(item[1]),end="\t")

        # 随机基址 => hex(pe.OPTIONAL_HEADER.DllCharacteristics) & 0x40 == 0x40

        if( (DllFlage & 64)==64 ):

            print(" True",end="\t\t")

        else:

            print(" False",end="\t\t")

            UNProtoModule.append(item[2])

        if( (DllFlage & 256)==256 ):

            print("True",end="\t\t")

        else:

            print("False",end="\t\t")

        if ( (DllFlage & 128)==128 ):

            print("True",end="\t\t")

        else:

            print("False",end="\t\t")

        if ( (DllFlage & 1024)==1024 ):

            print("False",end="\t\t\n")

        else:

            print("True",end="\t\t\n")

    print("-" * 100)

    print("\n[+] 总模块数: {} 可利用模块: {}".format(len(ProcessModule),len(UNProtoModule)),end="\n\n")

    for item in UNProtoModule:

        print("[-] {}".format(item))

    print("-" * 100)

if __name__ == "__main__":

    Banner()

    parser = argparse.ArgumentParser()

    parser.add_argument("-H","--handle",dest="handle",help="指定一个正在运行的进程Handle")

    parser.add_argument("-P","--pid",dest="pid",help="指定一个正在运行的进程PID")

    args = parser.parse_args()

    if args.handle or args.pid:

        if args.handle:

            CheckModulesProtect(str(args.handle))

        elif args.pid:

            CheckModulesProtect(int(args.pid))

    else:

        parser.print_help()

输出枚举效果如下:

Python 检测PE所启用保护方式的更多相关文章

  1. python检测文件的MD5值

    python检测文件的MD5值MD5(单向散列算法)的全称是Message-Digest Algorithm 5(信息-摘要算法),经MD2.MD3和MD4发展而来.MD5算法的使用不需要支付任何版权 ...

  2. 使用python检测一个设备是否ping的通

    使用python检测一个设备是否ping的通 一,subprocess以及常用的封装函数 运行python的时候,我们都是在创建并运行一个进程.像Linux进程那样,一个进程可以fork一个子进程,并 ...

  3. python检测服务器是否ping通

    好想在2014结束前再赶出个10篇博文来,~(>_<)~,不写博客真不是一个好兆头,至少说明对学习的欲望和对知识的研究都不是那么积极了,如果说这1天的时间我能赶出几篇精致的博文,你们信不信 ...

  4. 安全篇:弱密码python检测工具

    安全篇:弱密码python检测工具 https://github.com/penoxcn/PyWeakPwdAudit

  5. python检测是否是质数

    python检测是否是质数 编写python脚本,使得实现以下功能: 输入一个整数,通过脚本判断出输入的这个数是否是质数,然后输出是否是质数. 脚本如下图所示: Num = input("P ...

  6. python检测变量名

    python检测变量名 变量在编程中的用途非常广,在python中,变量的名称只能以字母或者下划线“_”开头,变量名只能由字母.数字.下划线组成. 编写python,使得其实现以下功能: 1.输入一个 ...

  7. Python检测URL状态

    需求:Python检测URL状态,并追加保存200的URL 代码一: #! /usr/bin/env python #coding=utf-8 import sys import requests d ...

  8. python检测远程udp端口是否打开的代码

    研发过程,把开发过程较好的代码收藏起来,如下的代码内容是关于python检测远程udp端口是否打开的代码,希望对各朋友有较大帮助. import socketimport threadingimpor ...

  9. python检测当前端口是否使用

    基于python检测端口是否在使用 - 缘起花渊 - 博客园https://www.cnblogs.com/yqmcu/p/9804002.html def net_is_used(port,ip=' ...

  10. python检测文件的MD值

    使用hashlib模块,可对文件MD5一致性加密验证: #python 检测文件MD5值 #python version 2.6 import hashlib import os,sys #简单的测试 ...

随机推荐

  1. 当谈论 React hook,我们究竟说的是什么?

    这个标题很大,但是落点很小,只是我,一个开发者在学习和使用 hooks 中的一点感受和总结. React hook 的由来 React hook 的由来,其实也可以看作是前端技术不断演进的结果. 在 ...

  2. FOR ALL ENTRIES IN 与 INNER JOIN 内表

    1.区别 FOR ALL ENTRIES IN 与 INNER JOIN 内表,目的都是通过内表找数据库表与之对应的数据,但是有区别. 1.1.写法 FOR ALL ENTRIES IN " ...

  3. C#9.0:Improved Pattern Matching

    增强的模式匹配 C#9.0添加了几种新的模式.我们可以参阅模式匹配教程 ,来了解下面代码的上下文: 1 public static decimal CalculateToll(object vehic ...

  4. Codeforces Round #717 (Div. 2) 个人题解 A~C (A思維,B位運算,C背包DP)

    1516A. Tit for Tat 題意: 給定大小為 \(n\) 的數組和可操作次數 \(k\) , 每次操作都選定兩個數(如果 \(1 \le a_i\) ),使第一個數 - \(1\) ,另一 ...

  5. Android Kotlin 导入 Protobuf

    project build.gradle plugins { id "com.google.protobuf" version "0.9.1" apply fa ...

  6. 面向对象C++学习总结

    洛谷日记3 2023.5 面向对象C++ : 运算符重载 1.运算符重载 (1)n定义重载运算符和定义普通函数类似,只是该函数的名字是operator@,@表示要重载的运算符. MinInt oper ...

  7. 玩转 Helm 之 upgrade

    0. 前言 在 玩转 Helm 一文中,简略提到了 Helm upgrade 的策略. 在实际项目开发上,upgrade 多是调研的重点.基于此,这里对 upgrade 继续展开. 1. basic ...

  8. 【TouchGFX 】使用 CubeMX 创建 TouchGFX 工程时 LCD 死活不显示

    生成的代码死活无法让LCD显示,经两个晚上的分析验证是LTDC_CLK引脚速度设置为低速导致,经测试中速.高速.超高速都正常,真是冤,聊以此以示纪念

  9. [IDEA] - tomcat VM配置

    -Dfile.encoding=UTF-8

  10. SkyWalking的学习之二(性能优化以及log)

    SkyWalking的学习之二(性能优化以及log) 背景 周六在家学习了SkyWalking的交单部署和agent的方式获取日志. 万恶的周天上班到公司发现出现了宕机. 具体原因是我想进行SkyWa ...