Python 通过pywin32模块调用WindowsAPI接口,实现对特定进程加载模块的枚举输出并检测该PE程序模块所启用的保护方式,此处枚举输出的是当前正在运行进程所加载模块的DLL模块信息,需要用户传入进程PID才可实现输出。

  • 首先需要安装两个依赖包:
  • pip install pywin32
  • pip install pefile

然后再命令行模式下执行命令启动枚举功能。

# By: LyShark

import win32process

import win32api,win32con,win32gui

import os,pefile,argparse

def Banner():

    print("  _          ____  _                _    ")

    print(" | |   _   _/ ___|| |__   __ _ _ __| | __")

    print(" | |  | | | \___ \| '_ \ / _` | '__| |/ /")

    print(" | |__| |_| |___) | | | | (_| | |  |   < ")

    print(" |_____\__, |____/|_| |_|\__,_|_|  |_|\_\\")

    print("       |___/                             \n")

    print("E-Mail: me@lyshark.com")

def GetProcessModules(pid):

    ModuleList = []

    handle   = win32api.OpenProcess(win32con.PROCESS_ALL_ACCESS, False, pid )

    hModule  = win32process.EnumProcessModules(handle)

    for item in hModule:

        Module_Addr = hex(item)

        Module_Path = win32process.GetModuleFileNameEx(handle,item)

        Module_Name = os.path.basename(str(Module_Path))

        ModuleList.append([Module_Addr,Module_Name,Module_Path])

    win32api.CloseHandle(handle)

    return ModuleList

def CheckModulesProtect(ClassName):

    UNProtoModule = []

    if type(ClassName) is str:

        handle = win32gui.FindWindow(0,ClassName)

        threadpid, procpid = win32process.GetWindowThreadProcessId(handle)

        ProcessModule = GetProcessModules(int(procpid))

    else:

        ProcessModule = GetProcessModules(int(ClassName))

    print("-" * 100)

    print("映像基址\t\t模块名称\t基址随机化\tDEP保护兼容\t强制完整性\tSEH异常保护")

    # By: LyShark.com

    print("-" * 100)

    for item in ProcessModule:

        pe = pefile.PE(item[2])

        DllFlage = pe.OPTIONAL_HEADER.DllCharacteristics

        print("%10s"%(item[0]),end="\t")

        print("%21s"%(item[1]),end="\t")

        # 随机基址 => hex(pe.OPTIONAL_HEADER.DllCharacteristics) & 0x40 == 0x40

        if( (DllFlage & 64)==64 ):

            print(" True",end="\t\t")

        else:

            print(" False",end="\t\t")

            UNProtoModule.append(item[2])

        if( (DllFlage & 256)==256 ):

            print("True",end="\t\t")

        else:

            print("False",end="\t\t")

        if ( (DllFlage & 128)==128 ):

            print("True",end="\t\t")

        else:

            print("False",end="\t\t")

        if ( (DllFlage & 1024)==1024 ):

            print("False",end="\t\t\n")

        else:

            print("True",end="\t\t\n")

    print("-" * 100)

    print("\n[+] 总模块数: {} 可利用模块: {}".format(len(ProcessModule),len(UNProtoModule)),end="\n\n")

    for item in UNProtoModule:

        print("[-] {}".format(item))

    print("-" * 100)

if __name__ == "__main__":

    Banner()

    parser = argparse.ArgumentParser()

    parser.add_argument("-H","--handle",dest="handle",help="指定一个正在运行的进程Handle")

    parser.add_argument("-P","--pid",dest="pid",help="指定一个正在运行的进程PID")

    args = parser.parse_args()

    if args.handle or args.pid:

        if args.handle:

            CheckModulesProtect(str(args.handle))

        elif args.pid:

            CheckModulesProtect(int(args.pid))

    else:

        parser.print_help()

输出枚举效果如下:

Python 检测PE所启用保护方式的更多相关文章

  1. python检测文件的MD5值

    python检测文件的MD5值MD5(单向散列算法)的全称是Message-Digest Algorithm 5(信息-摘要算法),经MD2.MD3和MD4发展而来.MD5算法的使用不需要支付任何版权 ...

  2. 使用python检测一个设备是否ping的通

    使用python检测一个设备是否ping的通 一,subprocess以及常用的封装函数 运行python的时候,我们都是在创建并运行一个进程.像Linux进程那样,一个进程可以fork一个子进程,并 ...

  3. python检测服务器是否ping通

    好想在2014结束前再赶出个10篇博文来,~(>_<)~,不写博客真不是一个好兆头,至少说明对学习的欲望和对知识的研究都不是那么积极了,如果说这1天的时间我能赶出几篇精致的博文,你们信不信 ...

  4. 安全篇:弱密码python检测工具

    安全篇:弱密码python检测工具 https://github.com/penoxcn/PyWeakPwdAudit

  5. python检测是否是质数

    python检测是否是质数 编写python脚本,使得实现以下功能: 输入一个整数,通过脚本判断出输入的这个数是否是质数,然后输出是否是质数. 脚本如下图所示: Num = input("P ...

  6. python检测变量名

    python检测变量名 变量在编程中的用途非常广,在python中,变量的名称只能以字母或者下划线“_”开头,变量名只能由字母.数字.下划线组成. 编写python,使得其实现以下功能: 1.输入一个 ...

  7. Python检测URL状态

    需求:Python检测URL状态,并追加保存200的URL 代码一: #! /usr/bin/env python #coding=utf-8 import sys import requests d ...

  8. python检测远程udp端口是否打开的代码

    研发过程,把开发过程较好的代码收藏起来,如下的代码内容是关于python检测远程udp端口是否打开的代码,希望对各朋友有较大帮助. import socketimport threadingimpor ...

  9. python检测当前端口是否使用

    基于python检测端口是否在使用 - 缘起花渊 - 博客园https://www.cnblogs.com/yqmcu/p/9804002.html def net_is_used(port,ip=' ...

  10. python检测文件的MD值

    使用hashlib模块,可对文件MD5一致性加密验证: #python 检测文件MD5值 #python version 2.6 import hashlib import os,sys #简单的测试 ...

随机推荐

  1. SpringBoot 项目实战 | 瑞吉外卖 Day05

    该系列将记录一份完整的实战项目的完成过程,该篇属于第五天 案例来自B站黑马程序员Java项目实战<瑞吉外卖>,请结合课程资料阅读以下内容 该篇我们将完成以下内容: 新增套餐 套餐信息分页查 ...

  2. 【每日一题】33. 简单瞎搞题 (滚动数组 + bitset 优化DP)

    补题链接:Here 这个问题的难点在于如何统计出所有和可能出现的情况,并且不能重复. 很容易想到用桶去存储每一个数,即某个和能够组合出来则为1,否则为0 不妨令 \(dp[i][j]\) 表示为第 \ ...

  3. 【动态规划】动态规划基础 (OI wiki)

    文章来自 OI wiki ,转载仅作学习使用 动态规划应用于子问题重叠的情况: 要去刻画最优解的结构特征: 尝试递归地定义最优解的值(就是我们常说的考虑从 \(i - 1\) 转移到 \(i\)): ...

  4. 2021 VDC :vivo 互联网服务亿级用户的技术架构演进之路

    关注公众号[vivo互联网技术]--回复[2021VDC]获取大会PPT. 2021年12月16日,vivo 开发者大会圆满落幕.在互联网技术专场中,来自vivo 互联网技术的6位研发专家,从基础架构 ...

  5. Android内存泄露检测 LeakCanary2.0(Kotlin版)的实现原理

    本文介绍了开源Android内存泄漏监控工具LeakCanary2.0版本的实现原理,同时介绍了新版本新增的hprof文件解析模块的实现原理,包括hprof文件协议格式.部分实现源码等. 一.概述 L ...

  6. fusionpbx简介

    概述 fusionpbx是以freeswitch作为底层框架开发而成的开源PBX,在freeswitch的基础上,优化了GUI的易用性. fusionpbx可用作高可用性的单租户或基于域的多租户 PB ...

  7. java项目实战-spring-基本用法01-day24

    目录 1. spring 简单介绍 2. IOC/DI --控制反转--是啥 3. 实现 3. 如果 对象的 属性为引用数据类型 如何 实例化对象 4 如何用注解的方式 以少量的代码实现对象的创建于获 ...

  8. Web API接口返回实现类集合的姿势了解

    大家好,我是沙漠尽头的狼. 一. 问题描述 如下图,定义两个子类Student和Employ,都继承自抽象类PersonBase: public abstract class PersonBase { ...

  9. UEditor 添加在线管理图片删除功能 (转载)

    第一,需要添加一个 php 文件来实现删除功能,文件添加到: ueditor\php\action_delete.php 代码内容: <?php /*---------------------- ...

  10. [转帖]oracle数据库中RMAN备份格式化format解释

    格式化解释: 使用格式串 更改格式命令: RMAN> configure channel device type disk format ' E:\app\Administrator\db_ba ...