V1.2版本

免责声明：此工具仅限于安全研究，用户承担因使用此工具而导致的所有法律和相关责任！作者不承担任何法律责任

例如：123456789.dnslog.cn（微信中发送这个域名信息） pid不填写时，会遍历全部进程,将结果pid，进程名，和外联地址进行输出

指定进程检索，会将对应地址对应内存字符部分打印出来，默认长度为100，即可确认，相关字符串的前后的具体操作

例如：123456.dnslog.cn.com（微信中发送这个域名信息） pid不填写时，会遍历全部进程,将结果pid，进程名，进程路径表格形式输出

指定进程检索，会将对应地址对应内存字符部分打印出来，默认长度为100，即可确认，相关字符串的前后的具体操作

1、webshell中攻击者执行了哪些命令

2、攻击者是否执行了mimikat抓取密码

3、按照该上面测试，只要知道了攻击者恶意进程（通过外联啊 特征字符串定位），就可以看攻击者的历史操作记录，前提是服务器没有重启过

4、内存马应该也可以定位，目前没有测试，感兴趣的同学可以自己测试下

1、有同学反馈工具下载360会报毒，报毒原因为360qvm引擎检测到程序没有签名，因此产生报毒；下载后的文件，对比md5相同即可使用

2、工具开发思路：https://www.freebuf.com/sectool/408673.html 里面有具体的api使用说明，由于工具暂时处于测试阶段，暂不开发源码