Python 通过pywin32模块调用WindowsAPI接口,实现对特定进程加载模块的枚举输出并检测该PE程序模块所启用的保护方式,此处枚举输出的是当前正在运行进程所加载模块的DLL模块信息,需要用户传入进程PID才可实现输出。

  • 首先需要安装两个依赖包:
  • pip install pywin32
  • pip install pefile

然后再命令行模式下执行命令启动枚举功能。

# By: LyShark

import win32process

import win32api,win32con,win32gui

import os,pefile,argparse

def Banner():

    print("  _          ____  _                _    ")

    print(" | |   _   _/ ___|| |__   __ _ _ __| | __")

    print(" | |  | | | \___ \| '_ \ / _` | '__| |/ /")

    print(" | |__| |_| |___) | | | | (_| | |  |   < ")

    print(" |_____\__, |____/|_| |_|\__,_|_|  |_|\_\\")

    print("       |___/                             \n")

    print("E-Mail: me@lyshark.com")

def GetProcessModules(pid):

    ModuleList = []

    handle   = win32api.OpenProcess(win32con.PROCESS_ALL_ACCESS, False, pid )

    hModule  = win32process.EnumProcessModules(handle)

    for item in hModule:

        Module_Addr = hex(item)

        Module_Path = win32process.GetModuleFileNameEx(handle,item)

        Module_Name = os.path.basename(str(Module_Path))

        ModuleList.append([Module_Addr,Module_Name,Module_Path])

    win32api.CloseHandle(handle)

    return ModuleList

def CheckModulesProtect(ClassName):

    UNProtoModule = []

    if type(ClassName) is str:

        handle = win32gui.FindWindow(0,ClassName)

        threadpid, procpid = win32process.GetWindowThreadProcessId(handle)

        ProcessModule = GetProcessModules(int(procpid))

    else:

        ProcessModule = GetProcessModules(int(ClassName))

    print("-" * 100)

    print("映像基址\t\t模块名称\t基址随机化\tDEP保护兼容\t强制完整性\tSEH异常保护")

    # By: LyShark.com

    print("-" * 100)

    for item in ProcessModule:

        pe = pefile.PE(item[2])

        DllFlage = pe.OPTIONAL_HEADER.DllCharacteristics

        print("%10s"%(item[0]),end="\t")

        print("%21s"%(item[1]),end="\t")

        # 随机基址 => hex(pe.OPTIONAL_HEADER.DllCharacteristics) & 0x40 == 0x40

        if( (DllFlage & 64)==64 ):

            print(" True",end="\t\t")

        else:

            print(" False",end="\t\t")

            UNProtoModule.append(item[2])

        if( (DllFlage & 256)==256 ):

            print("True",end="\t\t")

        else:

            print("False",end="\t\t")

        if ( (DllFlage & 128)==128 ):

            print("True",end="\t\t")

        else:

            print("False",end="\t\t")

        if ( (DllFlage & 1024)==1024 ):

            print("False",end="\t\t\n")

        else:

            print("True",end="\t\t\n")

    print("-" * 100)

    print("\n[+] 总模块数: {} 可利用模块: {}".format(len(ProcessModule),len(UNProtoModule)),end="\n\n")

    for item in UNProtoModule:

        print("[-] {}".format(item))

    print("-" * 100)

if __name__ == "__main__":

    Banner()

    parser = argparse.ArgumentParser()

    parser.add_argument("-H","--handle",dest="handle",help="指定一个正在运行的进程Handle")

    parser.add_argument("-P","--pid",dest="pid",help="指定一个正在运行的进程PID")

    args = parser.parse_args()

    if args.handle or args.pid:

        if args.handle:

            CheckModulesProtect(str(args.handle))

        elif args.pid:

            CheckModulesProtect(int(args.pid))

    else:

        parser.print_help()

输出枚举效果如下:

Python 检测PE所启用保护方式的更多相关文章

  1. python检测文件的MD5值

    python检测文件的MD5值MD5(单向散列算法)的全称是Message-Digest Algorithm 5(信息-摘要算法),经MD2.MD3和MD4发展而来.MD5算法的使用不需要支付任何版权 ...

  2. 使用python检测一个设备是否ping的通

    使用python检测一个设备是否ping的通 一,subprocess以及常用的封装函数 运行python的时候,我们都是在创建并运行一个进程.像Linux进程那样,一个进程可以fork一个子进程,并 ...

  3. python检测服务器是否ping通

    好想在2014结束前再赶出个10篇博文来,~(>_<)~,不写博客真不是一个好兆头,至少说明对学习的欲望和对知识的研究都不是那么积极了,如果说这1天的时间我能赶出几篇精致的博文,你们信不信 ...

  4. 安全篇:弱密码python检测工具

    安全篇:弱密码python检测工具 https://github.com/penoxcn/PyWeakPwdAudit

  5. python检测是否是质数

    python检测是否是质数 编写python脚本,使得实现以下功能: 输入一个整数,通过脚本判断出输入的这个数是否是质数,然后输出是否是质数. 脚本如下图所示: Num = input("P ...

  6. python检测变量名

    python检测变量名 变量在编程中的用途非常广,在python中,变量的名称只能以字母或者下划线“_”开头,变量名只能由字母.数字.下划线组成. 编写python,使得其实现以下功能: 1.输入一个 ...

  7. Python检测URL状态

    需求:Python检测URL状态,并追加保存200的URL 代码一: #! /usr/bin/env python #coding=utf-8 import sys import requests d ...

  8. python检测远程udp端口是否打开的代码

    研发过程,把开发过程较好的代码收藏起来,如下的代码内容是关于python检测远程udp端口是否打开的代码,希望对各朋友有较大帮助. import socketimport threadingimpor ...

  9. python检测当前端口是否使用

    基于python检测端口是否在使用 - 缘起花渊 - 博客园https://www.cnblogs.com/yqmcu/p/9804002.html def net_is_used(port,ip=' ...

  10. python检测文件的MD值

    使用hashlib模块,可对文件MD5一致性加密验证: #python 检测文件MD5值 #python version 2.6 import hashlib import os,sys #简单的测试 ...

随机推荐

  1. # github.com/coreos/etcd/clientv3/balancer/resolver/endpoint

    linux使用go连接etcd集群时报错: # github.com/coreos/etcd/clientv3/balancer/resolver/endpoint /root/go/pkg/mod/ ...

  2. 【QT Tools】软件多语言国际化翻译的方法与步骤

    在Qt的项目开发过程中,有时软件要翻译成多语言版本,这就涉及到国际化方面的操作.虽然Qt对这方面集成了很多工具,操作起来比较方便,本文还是总结一下国际化的方法和步骤,用以备忘和参考. 我们通常在写程序 ...

  3. OS | 读者写者问题(读者优先,写者优先 ,读写公平)

    读者优先 读者优先的解决方案: 互斥信号量 wrt,初值是 \(1\),代表一个共享文件,解决 "读-写"互斥,"写-写"互斥. 一个记数器,即整型变量 rea ...

  4. #2089: 不要62 (数位dp模板题,附带详细解释)

    题目链接 题意:问区间[n,m]中,不含数字4,也不含数字串"62"的所有数的个数. 思路:可以转化成求区间[0,x] 第一次接触数位dp,参考了这几篇博客. 不要62(数位dp) ...

  5. JSP 学习笔记 | 一、JSP 原理理解

    前文:IDEA | 使用Maven创建Web项目并配置Tomcat JSP(全称:Java Server Pages):Java 服务端页面.是一种动态的网页技术,其中既可以定义 HTML.JS.CS ...

  6. OpenTSDB 数据存储详解

    本文首发于 vivo互联网技术 微信公众号链接: https://mp.weixin.qq.com/s/qayKiwk5QAIWI7-nyD3FVA作者:DuZhimin 随着互联网.尤其是物联网的发 ...

  7. SpringCloud学习 系列七、EurekaServer集群创建

    系列导航 SpringCloud学习 系列一. 前言-为什么要学习微服务 SpringCloud学习 系列二. 简介 SpringCloud学习 系列三. 创建一个没有使用springCloud的服务 ...

  8. java占位符%d,%s等的使用

    (转载自:http://www.cnblogs.com/happyday56/p/3996498.html) String类的format()方法用于创建格式化的字符串以及连接多个字符串对象.熟悉C语 ...

  9. shell-命令行位置参数-$n

  10. [转帖]Linux:页表中PGD、PUD、PMD、TLB等概念介绍

    1.PGD: Page Global Directory        Linux系统中每个进程对应用户空间的pgd是不一样的,但是linux内核 的pgd是一样的.当创建一个新的进程时,都要为新进程 ...