Releases · hasherezade/pe-sieve · GitHub
Releases · hasherezade/pe-sieve
Scans a given process. Recognizes and dumps a variety of potentially malicious implants (replaced/injected PEs, shellcodes, hooks, in-memory patches). - hasherezade/pe-sieve
github.com
해당 경로에서 최신 release버전으로 받아두었다.
PE-sieve란?
Windows 프로세스 메모리를 검사해 인젝션, 언패킹, Hollowing 같은 악성 행위를 탐지하는 메모리 포렌식 도구
실행 중인 프로세스 내부에서 수정·삽입된 PE 파일과 쉘코드를 덤프해 분석할 수 있어 악성코드 분석에서 자주 사용된다.
특징
- Process Hollowing / Reflective DLL Injection 탐지 가능
- 언패킹된 메모리 영역 덤프 지원
- 악성 DLL 및 쉘코드 추출 가능
- JSON 리포트 출력 지원
- 가볍고 휴대용 실행 가능
사용법
기본 흐름
| 단계 | 설명 |
| 1 | 악성 샘플 실행 |
| 2 | PID 확인 |
| 3 | PE-sieve로 메모리 검사 |
| 4 | 필요 시 메모리 Dump 추출 |
| 5 | 추출 파일 정적 분석 |
기본 사용법
프로세스 검사
pe-sieve.exe /pid [PID]
분석하고자 하는 프로세스의 PID를 [PID]에 넣어서 동작해보면
Implanted PE: 1
Replaced PE: 1
Hooked: 0다음과 예시와 같이 결과값이 출력된다고 한다.
각 결과값의 의미는 다음과 같다.
Implanted PE
→ 메모리에 삽입된 PE 있음
(DLL Injection 가능성)
Replaced PE
→ 프로세스 Hollowing 가능성
정상 프로세스 내부가 교체된 상태.
Hooked
→ API 후킹 흔적
명령어
기본 사용법 뒤에 붙여서 사용할 수 있는 명령어들 이다.
ex)
pe-sieve64.exe /pid 4120 /dump_mode 1| 명령어 | 설명 |
| /pid [PID] | 특정 프로세스 검사 |
| /dump_mode 1 | 탐지된 PE 파일 Dump |
| /shellc | Shellcode 탐지 |
| /threads | 스레드 검사 |
| /hooks | API Hook 검사 |
| /iat | IAT 변조 검사 |
| /quiet | 결과 최소 출력 |
| /json | JSON 형태 출력 |
| /dir [폴더명] | Dump 저장 폴더 지정 |
Dump 관련 옵션
pe-sieve64.exe /pid 4120 /dump_mode 1| 옵션 | 설명 |
| /dump_mode 0 | Dump 수행 안함 |
| /dump_mode 1 | 의심 PE만 Dump |
| /dump_mode 2 | 모든 메모리 영역 Dump |
'Study > ToolBox' 카테고리의 다른 글
| [ToolBox] API Monitor 설치 (0) | 2026.05.25 |
|---|---|
| [ToolBox] FakeNet-NG 설치 (0) | 2026.04.24 |
| [ToolBox] Process Monitor 설치 (0) | 2026.04.24 |
| [ToolBox] UPX Unpacker 설치 (0) | 2026.04.24 |
| [ToolBox] Wireshark 설치 (1) | 2026.04.22 |