6 مستودعات
Tools that search process memory segments for specific byte patterns to locate data or code.
Distinct from Process and Memory Management: None of the candidates cover the active scanning of process memory for patterns; they focus on partitioning or hardware segmentation.
Explore 6 awesome GitHub repositories matching operating systems & systems programming · Process Memory Scanners. Refine with filters or upvote what's useful.
GEF is a Python-based extension for GDB that serves as a framework for binary analysis, exploit development, and low-level debugging. It functions as a dynamic analysis extension designed to assist in reverse engineering workflows and malware analysis by enhancing the debugger's ability to inspect process state and memory. The project is distinguished by its specialized heap analysis tools, which allow for the inspection of glibc heap arenas, bins, and chunks to detect memory corruption. It also provides a dedicated toolkit for exploit development, including cyclic pattern generation for offs
Allows scanning all memory segments for specific byte patterns to identify locations and permissions.
Peda هي مجموعة أدوات أمنية وإطار عمل لتطوير الاستغلال مصمم لتحليل الملفات الثنائية، وأتمتة مصحح الأخطاء، وفحص الذاكرة. تعمل كمجموعة من نصوص Python التي توسع مصحح الأخطاء لأتمتة تحليل الملفات المجمعة وفحص ذاكرة العملية. يوفر المشروع أدوات متخصصة لأبحاث فساد الذاكرة، بما في ذلك أداة توليد حمولة لإنشاء أنماط دورية لاكتشاف تجاوز سعة المخزن المؤقت (buffer overflows) وباحث عن الأدوات (gadget finder) لتحديد تسلسلات البرمجة الموجهة للعودة (ROP) داخل الملفات الثنائية. يتميز بتقديم أداة تصور تحول بيانات السجل الخام، والتفكيك، والذاكرة إلى نص ملون لتبسيط تحليل حالات وحدة المعالجة المركزية. يغطي إطار العمل مجموعة واسعة من القدرات بما في ذلك تحليل أمان الملفات الثنائية لاكتشاف الحماية، ومسح الذاكرة بالتعبيرات النمطية، والقدرة على تعيين بيئات العمليات مباشرة من نواة النظام. كما يتضمن أدوات لتعديل عناوين الذاكرة وتوليد قوالب shellcode.
Locates specific byte patterns, addresses, or regex matches within the memory space of a running process.
Blackbone عبارة عن مجموعة من الأدوات المتخصصة لمسح الذاكرة، وحقن العمليات، وواجهات برامج تشغيل النواة (kernel-driver) المستخدمة للتلاعب ببيئة تنفيذ Windows. يوفر إطار عمل لتنفيذ كود عن بُعد، وتعيين صور الملفات القابلة للتنفيذ (portable executable)، وإدارة الخيوط عبر حدود العمليات المختلفة. يتضمن المشروع برنامج تشغيل ذاكرة النواة للوصول إلى ذاكرة النواة وتعديل حقوق المقبض (handle rights) لإخفاء التخصيصات عن اكتشاف وضع المستخدم. كما يتميز بمكتبة لاعتراض استدعاءات الوظائف في العمليات البعيدة باستخدام مقاطعات البرامج ونقاط التوقف العتادية. تغطي مجموعة الأدوات قدرات أوسع في التلاعب بالذاكرة الافتراضية، مثل القراءة والكتابة وتخصيص الذاكرة في العمليات المحلية أو البعيدة. كما توفر أدوات مساعدة للبحث عن أنماط الذاكرة لتحديد تسلسلات بايت معينة وإدارة الوحدات لحقن أو إخراج الملفات الثنائية.
Searches process memory segments for specific byte patterns to locate data or code.
Velociraptor is a digital forensics and incident response platform, endpoint detection and response system, and visibility tool. It provides a query engine and remote forensic collector used to hunt for indicators of compromise and perform triage across a fleet of hosts. The system is distinguished by its specialized query language for interrogating host state and parsing binary files. It features a notebook environment that combines markdown documentation with executable query cells to standardize investigative workflows and enable collaborative reporting. The platform covers a wide range o
Dumps process memory and scans processes using YARA rules.
pe-sieve is a set of diagnostic tools for scanning Windows process memory to identify malicious implants, shellcode, and hooks. It functions as an in-memory implant detector, malware unpacker, and process callstack analyzer designed to locate and dump memory patches and injected code from running processes. The project identifies advanced evasion techniques, such as process hollowing and reflective injection, by verifying portable executable structures in memory. It distinguishes itself by analyzing process callstacks to detect anomalies and redirections and by reconstructing executable heade
Detects injected code, shellcode, and hooks within running Windows processes by analyzing memory.
PINCE is a dynamic debugger, instruction tracer, and memory scanner designed for the analysis and manipulation of running processes. It functions as a process memory manipulator and editor, allowing for the identification, modification, and monitoring of values within a target application's active memory. The tool distinguishes itself through memory pointer analysis, tracing addresses and offsets to locate static pointers that lead to dynamic data across different sessions. It also enables the execution of internal functions within a running process by manipulating the instruction pointer and
Searches process memory for specific byte patterns to identify addresses corresponding to target variables.