Notice
Recent Posts
Recent Comments
Link
일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | |||
5 | 6 | 7 | 8 | 9 | 10 | 11 |
12 | 13 | 14 | 15 | 16 | 17 | 18 |
19 | 20 | 21 | 22 | 23 | 24 | 25 |
26 | 27 | 28 | 29 | 30 | 31 |
Tags
- 달고나bof
- 파이썬신경망
- 항등함수
- C언어 알고리즘
- 밑바닥부터시작하는딥러닝
- 버퍼오버플로우
- 보안
- 파이썬
- FTZlevel10
- 인공지능
- 신경망 학습
- 8086CPU레지스터
- C알고리즘
- 신경망구현
- 백준
- 신경망파이썬
- 딥러닝파이썬
- BOF
- c언어
- 머신러닝
- 딥러닝
- 백준알고리즘
- 스트림암호
- BOJ
- C언어알고리즘
- 소프트맥스함수
- 알고리즘
- 신경망
- 활성화함수파이썬
- 정보보안
Archives
- Today
- Total
HeeJ's
[04] psscan 우회하기(PROCESS) :: Anti Memory Forensics/Volatility 본문
<Project>/<Anti Memory Forensic>_2020
[04] psscan 우회하기(PROCESS) :: Anti Memory Forensics/Volatility
meow00 2020. 8. 2. 00:00psscan은 Pool tag를 변조함으로써 은닉할 수 있다.
HxD로 MalwareProcess의 물리주소로 이동해주었다.
EPROCESS 헤더 시그니처인 03 00 58 00 위에 풀태그 시그니처인 50 72 6F E3을 볼 수 있다.
이 값은 psscan이 참조하기 때문에 이 값 4byte 중에 아무 값이나 변조하면 우회시킬 수 있다.
psxview로 살펴보면
MalwareProcess의 psscan 은닉 성공
'<Project> > <Anti Memory Forensic>_2020' 카테고리의 다른 글
[06] pspcid&csrss 우회하기(PROCESS) :: Anti Memory Forensics/Volatility (0) | 2020.08.02 |
---|---|
[05] thrdproc 우회하기(PROCESS) :: Anti Memory Forensics/Volatility (0) | 2020.08.02 |
[03] pslist 우회하기(PROCESS) :: Anti Memory Forensics/Volatility (0) | 2020.08.01 |
[02] 프로세스 이동 :: Anti Memory Forensics/Volatility (0) | 2020.07.30 |
[01] Volatility 시작하기 :: Anti Memory Forensics/Volatility (0) | 2020.07.26 |