Windows进程字符串检索工具

工具简介

@骁师傅投稿的一款基于Go开发检索Windows进程字符串工具，可通过指定字符串、指定单个进程PID两种方式进行检索。

工具使用

检索指定字符串

例如：123456.dnslog.cn.com（微信中发送这个域名信息） pid不填写时，会遍历全部进程，将结果pid，进程名，进程路径表格形式输出

将结果保存至Memory_search_result文件中

指定进程PID进行检索

指定进程检索，会将对应地址对应内存字符部分打印出来，默认长度为50，即可确认，相关字符串的前后的具体操作

使用场景

1、webshell中攻击者执行了哪些命令

2、攻击者是否执行了mimikat抓取密码

3、按照该上面测试，只要知道了攻击者恶意进程（通过外联啊 特征字符串定位），就可以看攻击者的历史操作记录，前提是服务器没有重启过

4、内存马应该也可以定位，目前没有测试，感兴趣的同学可以自己测试下

下载地址

https://github.com/Fheidt12/Windows_Memory_Search

文章来源：Hack分享吧

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！

如侵权请私聊我们删文

END