文章总结： 本文分享了银狐木马的内存取证实战案例。作者利用ProcessHacker定位具备RWX权限的内存页，转储出被注入的Shellcode并验证为PE文件。随后通过逆向分析从内存样本中提取了C2服务器信息。该过程展示了基于内存属性特征进行恶意代码分析的有效路径。 综合评分： 78 文章分类： 恶意软件,逆向分析,应急响应

银狐木马内存dump案例分析

原创

埃里克之旅 埃里克之旅

SOC安全分析之旅

2026年2月5日 23:26 上海

前面分析很多知识的文章，有老铁觉得不过瘾，那么今天先分析一个实战案例

01

ProcessHacker来dump

先打开ProcessHacker 来监控相关的进程信息，由于银狐木马shellcode被注入到目标进程中，先查看被注入进程的相关的PID信息

1. 找到RWX 内存属性RWX指的是内存页面的访问权限，其中R代表可读（Read），W代表可写（Write），X代表可执行（eXecute），同时具有RWX属性，一般即为，解密后写入的内存空间
2. 直接保存即可

dump出来查看下，验证下 为PE文件

02

逆向dump出来的shellcode，得到C2信息

除了 ProcessHacker ，还有其他多种工具， ProcessHacker是其中最简单快速的方法之一，也欢迎留言分享你的问题。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：SOC安全分析之旅 埃里克之旅 埃里克之旅《银狐木马内存dump案例分析》