Windows进程字符串检索工具

文章预览

工具简介 @骁 师傅投稿的一款基于Go开发检索Windows进程字符串工具，可通过指定字符串、指定单个进程PID两种方式进行 检索。 工具使用 检索指定字符串 例如：123456.dnslog.cn.com（微信中发送这个域名信息） pid不填写时，会遍历全部进程，将结果pid，进程名，进程路径表格形式输出 将结果保存至Memory_search_result文件中 指定进程PID进行检索 指定进程检索，会将对应地址对应内存字符部分打印出来，默认长度为50，即可确认，相关字符串的前后的具体操作 使用场景 1、webshell中攻击者执行了哪些命令 2、攻击者是否执行了mimikat抓取密码 3、按照该上面测试，只要知道了攻击者恶意进程（通过外联啊 特征字符串定位），就可以看攻击者的历史操作记录，前提是服务器没有重启过 4、内存马应该也可以定位，目前没有测试，感兴趣的同学可以自己测试下 下载 ………………………………