IWM Utilities:Win32
loaderex
- 書式
- loader [option...] file
- 説明
- シェルコードをメモリに読み込んで実行する.
- -a, --address=HEX シェルコードを読み込むアドレス
- -e, --entry=HEX シェルコードの実行開始相対アドレス
- -f, --file=FILE シェルコード実行前に開くファイル
- 例
- loader -a 401000 sample.sc
シェルコードを実行可能メモリに読み込んで実行する. デフォルトでは任意のメモリに配置され,シェルコードの先頭から実行される. シェルコードの実行前に指定のファイルを開いておくことができる.
tlhlp
- 書式
- tlhlp pid | name [address] [length] [/o outfile]
- 説明
- 指定プロセスのメモリまたはモジュールのイメージを保存する.
- /o FILE 出力ファイル
- 例
- tlhlp sample.exe 400000 5000
- tlhlp 1632 /o sample
プロセスIDまたはプロセスのファイル名を指定する. アドレスとバイト数を指定したときには,その範囲のメモリの内容をファイルに保存する. デフォルトではプロセスを作成したモジュールのイメージをファイルに保存する. 保存時に,メモリのイメージとともにインポートテーブルの情報を保存する. デフォルトではモジュールのファイルの名前で拡張子が「.dmp」にメモリのイメージ,「.imp」にインポートテーブルの情報を保存する. モジュールのイメージでは,セクションヘッダのファイルオフセットと仮想相対アドレスは一致する.
mki
- 書式
- mki dmpfile impfile zzzfile
- 説明
- メモリのイメージとインポートデーブルの情報からインポートテーブルを再構築する.
- 例
- mki sample.dmp sample.imp sample.zzz
tlhlpが作成したメモリのイメージとインポートデーブルの情報からインポートテーブルを再構築してファイルに保存する.
連絡先iwm@maid.org
