[05] thrdproc 우회하기(PROCESS) :: Anti Memory Forensics/Volatility

thrdproc 필드는 ExitTime을 변조해서 우회한다.

 

MalwareProcess의 EPROCESS를 확인

ExitTime이 0x170의 위치에 있다는 것을 확인할 수 있었고,

 값은 00: 00: 00 UTC+0000임을 확인할 수 있었다.

 

이에 관한 값을 확인하기 위해 HxD로 열어 MalwareProcess의 위치로 이동해주었다.

EPROCESS의 시그니처를 확인하고 ExitTime이 이 위치에서 0x170 떨어져있기 때문에 0x170 뒤로 이동해주었다.

값이 전부 00 00 00 00 으로 이루어져있다.

 

적당한 수로 변조해주어야하기 때문에 다른 프로세스의 ExitTime값을 확인해주려고 한다.

 

cmd.exe의 EPROCESS를 확인해보았다.

ExitTime은 12: 24: 00 UTC+0000임을 확인하고

HxD로 확인해주었다.

 

EPROCESS의 헤더를 먼저 확인해준 후, 0x170 뒤로 이동해주었다.

이 값을 복사해서

다시 MalwareProcess의 ExitTime으로 이동해 이 값을 넣어주었다.

 

psxview로 다시 열어주어 thrdproc가 우회가 성공했는지 확인해보았다.

MalwareProcess의 thrdproc 은닉 성공