Process
域名:process
进程、模块、内存诊断与受控注入域,适合宿主级分析、故障排查与 Windows 进程实验场景。
Profile
- full
典型场景
- 进程枚举与模块检查
- 内存失败诊断与审计导出
- 受控环境中的 DLL/Shellcode 注入
常见组合
- process + debugger
- process + platform
工具清单(17)
| 工具 | 说明 |
|---|---|
electron_attach | 通过 CDP 连接正在运行的 Electron 应用并执行检查或脚本。 |
process_windows | 获取指定进程关联的全部窗口句柄。 |
process_check_debug_port | 检查目标进程是否已开启可用于 CDP 附加的调试端口。 |
process_launch_debug | 以启用远程调试端口的方式启动可执行文件。 |
memory_read | 读取目标进程指定地址的内存内容。需要提权。失败时返回结构化 diagnostics。 |
memory_write | 向目标进程指定地址写入内存数据。需要提权。失败时返回结构化 diagnostics。 |
memory_scan | 按模式或数值扫描进程内存。需要提权。失败时返回结构化 diagnostics。 |
memory_check_protection | 检查指定内存地址的保护属性,如可读、可写、可执行。 |
memory_scan_filtered | 在已筛选地址范围内执行二次内存扫描。 |
memory_batch_write | 一次性写入多处内存补丁。 |
memory_dump_region | 将指定内存区域转储到文件以供分析。 |
memory_list_regions | 列出进程中的全部内存区域及其保护标志。 |
memory_audit_export | 导出内存操作审计轨迹为 JSON,并可通过 clear=true 在导出后清空缓冲区。 |
inject_dll | 通过 CreateRemoteThread 与 LoadLibraryA (Windows) 或 gdb/lldb (Linux/macOS) 向目标进程注入 DLL 或 shared object。默认启用;可通过 ENABLE_INJECTION_TOOLS=false 禁用。需要高权限。 |
inject_shellcode | 向目标进程注入并执行 Shellcode,支持 hex 或 base64。默认启用;可通过 ENABLE_INJECTION_TOOLS=false 禁用。 |
check_debug_port | 通过 NtQueryInformationProcess 检查进程是否处于调试状态。 |
enumerate_modules | 列出进程中所有已加载模块(DLL)及其基址。 |