| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 | 31 |
- 신경망
- 머신러닝
- 신경망파이썬
- 알고리즘
- 인공지능
- c언어
- 활성화함수파이썬
- C언어 알고리즘
- BOJ
- 항등함수
- 백준알고리즘
- 보안
- 딥러닝
- C알고리즘
- 밑바닥부터시작하는딥러닝
- 딥러닝파이썬
- 신경망 학습
- C언어알고리즘
- BOF
- 백준
- 정보보안
- 신경망구현
- 소프트맥스함수
- 파이썬신경망
- 달고나bof
- 스트림암호
- FTZlevel10
- 버퍼오버플로우
- 파이썬
- 8086CPU레지스터
- Today
- Total
HeeJ's
[02] 프로세스 이동 :: Anti Memory Forensics/Volatility 본문
[02] 프로세스 이동 :: Anti Memory Forensics/Volatility
meow00 2020. 7. 30. 19:44
우회에 사용할 sample.vmem을 볼라틸리티로 열어주었다.
ps() 명령어로 활성화되어있는 프로세스들을 확인해주었다.
여기서, System 프로세스의 offset을 이용해 EPROCESS 구조체를 확인해보려고 한다.
구조체 중, 0x188에 위치한 ActiveProcessLinks에 주목해야 한다.
EPROCESS 안에 있는 ActiveProcessLinks의 Flink, Blink를 통해서 다른 프로세스로 이동하기 때문이다.
LIST_ENTRY는 Flink와 Blink로 이루어져 있고, Flink는 다음 프로세스를, Blink는 이전 프로세스를 가리키는 포인터이다.
이제, System 프로세스의 LIST_ENTRY를 확인해보자.
다음 프로세스인 smss.exe로 이동하기 위해 Flink값을 사용해서 EPROCESS를 다시 확인해보았다.
여기서, smss.exe로 이동하려면, Flink에서 0x188을 빼주어야 한다.
ActiveProcessLinks가 0x188에 위치하기 때문이다.
맨 처음에 프로세스들의 offset을 확인했을 때, 노랗게 칠한 부분과 smss.exe의 offset이 같은 것을 확인함으로써,
smss.exe의 EPROCESS를 확인하고 있다는 것을 알 수 있다.
이번엔 smss.exe의 Blink를 통해 다시 System 프로세스로 돌아가보자.
노란 색을 칠한 부분과 System의 offset이 같은 것을 확인함으로써 System의 EPROCESS를 확인하고 있다는걸 알 수 있다.
smss.exe의 Blink를 통해 System으로 이동한 것을 확인할 수 있었다.
[출처]
사랑하는 우리 플젝 팀장님 블로그 S2
-> https://blog.naver.com/i1004yu/221988167152
'<Project> > <Anti Memory Forensic>_2020' 카테고리의 다른 글
| [05] thrdproc 우회하기(PROCESS) :: Anti Memory Forensics/Volatility (0) | 2020.08.02 |
|---|---|
| [04] psscan 우회하기(PROCESS) :: Anti Memory Forensics/Volatility (0) | 2020.08.02 |
| [03] pslist 우회하기(PROCESS) :: Anti Memory Forensics/Volatility (0) | 2020.08.01 |
| [01] Volatility 시작하기 :: Anti Memory Forensics/Volatility (0) | 2020.07.26 |
| [00] 안티포렌식 (Anti-Forensic) (0) | 2020.07.16 |
