Python 通过pywin32模块调用WindowsAPI接口,实现对特定进程加载模块的枚举输出并检测该PE程序模块所启用的保护方式,此处枚举输出的是当前正在运行进程所加载模块的DLL模块信息,需要用户传入进程PID才可实现输出。

  • 首先需要安装两个依赖包:
  • pip install pywin32
  • pip install pefile

然后再命令行模式下执行命令启动枚举功能。

# By: LyShark

import win32process

import win32api,win32con,win32gui

import os,pefile,argparse

def Banner():

    print("  _          ____  _                _    ")

    print(" | |   _   _/ ___|| |__   __ _ _ __| | __")

    print(" | |  | | | \___ \| '_ \ / _` | '__| |/ /")

    print(" | |__| |_| |___) | | | | (_| | |  |   < ")

    print(" |_____\__, |____/|_| |_|\__,_|_|  |_|\_\\")

    print("       |___/                             \n")

    print("E-Mail: me@lyshark.com")

def GetProcessModules(pid):

    ModuleList = []

    handle   = win32api.OpenProcess(win32con.PROCESS_ALL_ACCESS, False, pid )

    hModule  = win32process.EnumProcessModules(handle)

    for item in hModule:

        Module_Addr = hex(item)

        Module_Path = win32process.GetModuleFileNameEx(handle,item)

        Module_Name = os.path.basename(str(Module_Path))

        ModuleList.append([Module_Addr,Module_Name,Module_Path])

    win32api.CloseHandle(handle)

    return ModuleList

def CheckModulesProtect(ClassName):

    UNProtoModule = []

    if type(ClassName) is str:

        handle = win32gui.FindWindow(0,ClassName)

        threadpid, procpid = win32process.GetWindowThreadProcessId(handle)

        ProcessModule = GetProcessModules(int(procpid))

    else:

        ProcessModule = GetProcessModules(int(ClassName))

    print("-" * 100)

    print("映像基址\t\t模块名称\t基址随机化\tDEP保护兼容\t强制完整性\tSEH异常保护")

    # By: LyShark.com

    print("-" * 100)

    for item in ProcessModule:

        pe = pefile.PE(item[2])

        DllFlage = pe.OPTIONAL_HEADER.DllCharacteristics

        print("%10s"%(item[0]),end="\t")

        print("%21s"%(item[1]),end="\t")

        # 随机基址 => hex(pe.OPTIONAL_HEADER.DllCharacteristics) & 0x40 == 0x40

        if( (DllFlage & 64)==64 ):

            print(" True",end="\t\t")

        else:

            print(" False",end="\t\t")

            UNProtoModule.append(item[2])

        if( (DllFlage & 256)==256 ):

            print("True",end="\t\t")

        else:

            print("False",end="\t\t")

        if ( (DllFlage & 128)==128 ):

            print("True",end="\t\t")

        else:

            print("False",end="\t\t")

        if ( (DllFlage & 1024)==1024 ):

            print("False",end="\t\t\n")

        else:

            print("True",end="\t\t\n")

    print("-" * 100)

    print("\n[+] 总模块数: {} 可利用模块: {}".format(len(ProcessModule),len(UNProtoModule)),end="\n\n")

    for item in UNProtoModule:

        print("[-] {}".format(item))

    print("-" * 100)

if __name__ == "__main__":

    Banner()

    parser = argparse.ArgumentParser()

    parser.add_argument("-H","--handle",dest="handle",help="指定一个正在运行的进程Handle")

    parser.add_argument("-P","--pid",dest="pid",help="指定一个正在运行的进程PID")

    args = parser.parse_args()

    if args.handle or args.pid:

        if args.handle:

            CheckModulesProtect(str(args.handle))

        elif args.pid:

            CheckModulesProtect(int(args.pid))

    else:

        parser.print_help()

输出枚举效果如下:

Python 检测PE所启用保护方式的更多相关文章

  1. python检测文件的MD5值

    python检测文件的MD5值MD5(单向散列算法)的全称是Message-Digest Algorithm 5(信息-摘要算法),经MD2.MD3和MD4发展而来.MD5算法的使用不需要支付任何版权 ...

  2. 使用python检测一个设备是否ping的通

    使用python检测一个设备是否ping的通 一,subprocess以及常用的封装函数 运行python的时候,我们都是在创建并运行一个进程.像Linux进程那样,一个进程可以fork一个子进程,并 ...

  3. python检测服务器是否ping通

    好想在2014结束前再赶出个10篇博文来,~(>_<)~,不写博客真不是一个好兆头,至少说明对学习的欲望和对知识的研究都不是那么积极了,如果说这1天的时间我能赶出几篇精致的博文,你们信不信 ...

  4. 安全篇:弱密码python检测工具

    安全篇:弱密码python检测工具 https://github.com/penoxcn/PyWeakPwdAudit

  5. python检测是否是质数

    python检测是否是质数 编写python脚本,使得实现以下功能: 输入一个整数,通过脚本判断出输入的这个数是否是质数,然后输出是否是质数. 脚本如下图所示: Num = input("P ...

  6. python检测变量名

    python检测变量名 变量在编程中的用途非常广,在python中,变量的名称只能以字母或者下划线“_”开头,变量名只能由字母.数字.下划线组成. 编写python,使得其实现以下功能: 1.输入一个 ...

  7. Python检测URL状态

    需求:Python检测URL状态,并追加保存200的URL 代码一: #! /usr/bin/env python #coding=utf-8 import sys import requests d ...

  8. python检测远程udp端口是否打开的代码

    研发过程,把开发过程较好的代码收藏起来,如下的代码内容是关于python检测远程udp端口是否打开的代码,希望对各朋友有较大帮助. import socketimport threadingimpor ...

  9. python检测当前端口是否使用

    基于python检测端口是否在使用 - 缘起花渊 - 博客园https://www.cnblogs.com/yqmcu/p/9804002.html def net_is_used(port,ip=' ...

  10. python检测文件的MD值

    使用hashlib模块,可对文件MD5一致性加密验证: #python 检测文件MD5值 #python version 2.6 import hashlib import os,sys #简单的测试 ...

随机推荐

  1. 6.0 《数据库系统概论》之关系数据库的规范化理论(数据依赖对表的影响[插入-删除-修改-冗余]、1NF-2NF-3NF-BCNF-4NF、函数依赖与多值依赖)

    前言 本篇文章学习书籍:<数据库系统概论>第5版 王珊 萨师煊编著 视频资源来自:数据库系统概论完整版(基础篇+高级篇+新技术篇) 由于 BitHachi 学长已经系统的整理过本书了,我在 ...

  2. Codeforces Round #721 (Div. 2) AB思维,B2博弈,C题map

    补题链接:Here 1527A. And Then There Were K 题目大意: 给一个正整数n,求最大的k,使得 \(n \& (n−1) \& (n−2) \& ( ...

  3. 【每日一题】23.Removal (计数DP)

    补题链接:Here 计数DP讲解:Here 这是一个计数类的dp dp[i][j]表示前i个数字中,删除j个元素的方案数 很容易得到转移方程:\(f[i][j] = f[i - 1][j - 1] + ...

  4. 制作PE工具箱

    事前准备: 能上网的电脑 x1 台 大于8G的U盘 x一个(如果需要储存安装镜像的话,如果不需要的话大于1G即可) 一.下载PE工具箱 推荐使用WEPE工具箱,无广告无推广.不推荐老X桃,大X菜,大X ...

  5. springboot线程池的使用方式2

    一.简单介绍 方式1:Executors.newCachedThreadPool线程池.Executors有7种不同的线程池. private static final ExecutorService ...

  6. Java 开发手册 (阿里巴巴开发手册)

    Java 开发手册 (有需要pdf版本的私信我,可以邮箱发)0版本号 制定团队 更新日期 备注 1.4.0 阿里巴巴集团技术团队 2018.5.20 增加设计规约(详尽版) 一.编程规约 (一) 命名 ...

  7. 基于 eBPF 的 Serverless 多语言应用监控能力建设

    作者:竞霄 监控能力作为基础运维能力和核心稳定性措施,开发运维人员可以通过监控系统有效进行故障定位,预防潜在风险,分析长期趋势进行容量规划和性能调优,是软件开发生命周期中必不可少的一环.与此同时,Se ...

  8. R语言—数据基础及练习

    ## 创建leadership数据框 manager <- c(1,2,3,4,5) date <-c("10/24/08","10/28/08", ...

  9. Python追踪内存占用

    技术背景 当我们需要对python代码所占用的内存进行管理时,首先就需要有一个工具可以对当前的内存占用情况进行一个追踪.虽然在Top界面或者一些异步的工具中也能够看到实时的内存变化,还有一些工具可以统 ...

  10. OpenKruise :Kubernetes背后的托底

    本文分享自华为云社区<OpenKruise核心能力和工作原理>,作者:可以交个朋友. 一. 诞生背景 Kubernetes 自身提供的应用部署管理功能,无法满足大规模应用场景的需求,例如应 ...