场景:将画图板进程 dump 下来的内存数据,以图片形式还原。
利用工具:
gimp
首先,我们使用画图打开一张图片,并使用 tasklist 查看进程情况:
接着我们使用 procdump 来 dump 下 mspaint.exe 进程数据:
procdump64.exe -ma mspaint.exe mspaint.dmp
使用 CMD dir 命令查看是否 dump 成功并保存为 dmp 文件:
将 dmp 文件拷贝至 kali 并下载安装图像处理工具 gimp:
apt-get install gimp
将 mspaint.dmp 修改为 mspaint.data 格式,使 gimp 支持:
打开 gimp 选择文件>打开:
在右下角全部图像处选择 .data 格式,并打开:
通过对 RGB 的调整,我们可以将数据还原为图像:
