Notice
Recent Posts
Recent Comments
Link
«   2024/12   »
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31
Tags more
Archives
Today
Total
관리 메뉴

HeeJ's

[04] psscan 우회하기(PROCESS) :: Anti Memory Forensics/Volatility 본문

<Project>/<Anti Memory Forensic>_2020

[04] psscan 우회하기(PROCESS) :: Anti Memory Forensics/Volatility

meow00 2020. 8. 2. 00:00

psscan은 Pool tag를 변조함으로써 은닉할 수 있다.

 

HxD로 MalwareProcess의 물리주소로 이동해주었다.

 

EPROCESS 헤더 시그니처인 03 00 58 00 위에 풀태그 시그니처인 50 72 6F E3을 볼 수 있다.

 

이 값은 psscan이 참조하기 때문에 이 값 4byte 중에 아무 값이나 변조하면 우회시킬 수 있다.

psxview로 살펴보면

 

MalwareProcess의 psscan 은닉 성공

'<Project> > <Anti Memory Forensic>_2020' 카테고리의 다른 글

[06] pspcid&csrss 우회하기(PROCESS) :: Anti Memory Forensics/Volatility  (0) 2020.08.02
[05] thrdproc 우회하기(PROCESS) :: Anti Memory Forensics/Volatility  (0) 2020.08.02
[03] pslist 우회하기(PROCESS) :: Anti Memory Forensics/Volatility  (0) 2020.08.01
[02] 프로세스 이동 :: Anti Memory Forensics/Volatility  (0) 2020.07.30
[01] Volatility 시작하기 :: Anti Memory Forensics/Volatility  (0) 2020.07.26
'<Project>/<Anti Memory Forensic>_2020' Related Articles more