msfpescan是一款在 PE 文件中扫描跳转指令并直接转化为 VA 的工具,它使用起来非常简单灵活。

用法: msfpescan [mode] [targets]

参数类型： mode

    -j 后跟寄存器名,搜索 jump 类指令(包括 call 在内)

    -p 搜索 pop+pop+ret 的指令组合

    -r 搜索寄存器

    -a 后跟 VA,显示指定 VA 地址处的指令

    -b 后跟 RVA,显示指定偏移处的指令

    -f 自动识别编译器

    -i 显示映像的详细信息

    -R ——ripper 将资源信息分离出来；——context-map 生成 context-map 文件

参数类型： options

    -M 指明被扫描文件是由内存直接 dump 出的

    -A 显示(-a/-b)之前若干个字节的信息

    -B 显示(-a/-b)之后若干个字节的信息

    -I 指定映像基址

    -F 利用正则表达式过滤地址

    -h 显示帮助信息

参数类型： targets

    文件路径;    指明被扫描 PE 文件的位置

假如我们想搜索 kernel32.dll 中类似 jmp ecx 的指令,可以这样做:

键入命令 msfpescan –h 可以查看这个工具的说明。

键入命令 msfpescan -f -j ecx c:/windows/system32/kernel32.dll 扫描 PE 文件 kernel32.dll,搜索其中类似 jmp ecx 的指令地址,并转化成 VA 显示。