hasherezade/pe-sieve

GitHub: hasherezade/pe-sieve

PE-sieve 是一款 Windows 进程内存扫描工具，用于检测并转储进程内的恶意植入物，包括被注入的 PE 文件、Shellcode 及各类内存补丁。

Stars: 3609 | Forks: 468

[![构建状态](https://ci.appveyor.com/api/projects/status/crlo8iyvi4bm80yp?svg=true)](https://ci.appveyor.com/project/hasherezade/pe-sieve) [![Codacy 徽章](https://api.codacy.com/project/badge/Grade/b75fd4d95bd94629879381241e4a7c02)](https://app.codacy.com/gh/hasherezade/pe-sieve/dashboard?branch=master) [![提交活动](https://img.shields.io/github/commit-activity/m/hasherezade/pe-sieve)](https://github.com/hasherezade/pe-sieve/commits) [![最近提交](https://img.shields.io/github/last-commit/hasherezade/pe-sieve/master)](https://github.com/hasherezade/pe-sieve/commits) [![GitHub 发布](https://img.shields.io/github/release/hasherezade/pe-sieve.svg)](https://github.com/hasherezade/pe-sieve/releases) [![GitHub 发布日期](https://img.shields.io/github/release-date/hasherezade/pe-sieve?color=blue)](https://github.com/hasherezade/pe-sieve/releases) [![Github 所有发布](https://img.shields.io/github/downloads/hasherezade/pe-sieve/total.svg)](https://github.com/hasherezade/pe-sieve/releases) [![Github 最新发布](https://img.shields.io/github/downloads/hasherezade/pe-sieve/latest/total.svg)](https://github.com/hasherezade/pe-sieve/releases) [![许可证](https://img.shields.io/badge/License-BSD%202--Clause-blue.svg)](https://github.com/hasherezade/pe-sieve/blob/master/LICENSE) [![平台徽章](https://img.shields.io/badge/Windows-0078D6?logo=windows)](https://github.com/hasherezade/pe-sieve) [![讨论](https://img.shields.io/badge/Ask%20me-anything-1abc9c.svg)](https://github.com/hasherezade/pe-sieve/discussions) [![Twitter URL](https://img.shields.io/twitter/url/http/shields.io.svg?style=social)](https://twitter.com/intent/tweet?original_referer=https://github.com/hasherezade/pe-sieve&text=%23PEsieve%3A+an+open-source+process+scanner%2C+detecting+and+dumping+malicious+implants:%20https://github.com/hasherezade/pe-sieve) ## 简介 PE-sieve 是一个有助于检测系统中运行的恶意软件，以及收集潜在恶意材料以供进一步分析的工具。它可以识别并转储被扫描进程中的各种植入物：被替换/注入的 PE、shellcode、hook 以及其他内存补丁。
可检测 inline hook、Process Hollowing、Process Doppelgänging、Reflective DLL Injection 等。 PE-sieve 旨在作为一个**轻量级引擎**，用于一次扫描**单个进程**。它可以被构建为 EXE 或 DLL。DLL 版本公开了[简单的 API](https://github.com/hasherezade/pe-sieve/wiki/5.-API)，可以轻松集成到其他应用程序中。 📦 使用的库：[libPEConv](https://github.com/hasherezade/libpeconv.git) ## 帮助 ❓ [FAQ - 常见问题](https://github.com/hasherezade/pe-sieve/wiki/1.-FAQ) 📖 [阅读 Wiki](https://github.com/hasherezade/pe-sieve/wiki) 🤔 您是否有任何未包含在 [FAQ](https://github.com/hasherezade/pe-sieve/wiki/1.-FAQ) 中的问题？请加入 [Discussions](https://github.com/hasherezade/pe-sieve/discussions)！ ## PE-sieve 工具家族还有一些其他工具使用 PE-sieve 作为引擎，但专注于某些特定的用例。它们在其基础之上提供了额外的功能和过滤器。 📌 [HollowsHunter](https://github.com/hasherezade/hollows_hunter) - 如果您不想扫描单个进程，而是想使用 PE-sieve **一次扫描多个进程，甚至扫描整个系统**，那么这个工具适合您 📌 [MalUnpack](https://github.com/hasherezade/mal_unpack) - 提供对提供的恶意软件样本的快速**脱壳** ## 克隆使用 **递归克隆** 来获取仓库及其子模块： ``` git clone --recursive https://github.com/hasherezade/pe-sieve.git ``` ## 构建下载最新的 [发布版本](https://github.com/hasherezade/pe-sieve/releases)，或[阅读更多](https://github.com/hasherezade/pe-sieve/wiki/1.-FAQ#how-to-get-it)。也可通过以下方式获取： + ![](https://community.chocolatey.org/favicon.ico) [Chocolatey](https://community.chocolatey.org/packages/pesieve) + ![](https://static.pigsec.cn/wp-content/uploads/repos/2026/04/1ba7f2c8b0004838.jpg) [Scoop](https://scoop.sh/#/apps?q=pe-sieve)

logo 由 [Baran Pirinçal](https://github.com/baranpirincal) 设计

标签：AMSI绕过, Conpot, EDR, Hook检测, JARM, PE-sieve, PE文件, SecList, Shellcode, Windows安全, 内存分析, 内存取证, 内存完整性, 内存补丁, 反恶意软件, 威胁检测, 开源安全工具, 技术调研, 植入物识别, 端点可见性, 脆弱性评估, 进程扫描, 进程转储, 逆向工程平台