Notice
Recent Posts
Recent Comments
Link
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 | 31 |
Tags
- 항등함수
- 활성화함수파이썬
- C알고리즘
- 딥러닝파이썬
- C언어알고리즘
- 머신러닝
- 파이썬
- 인공지능
- 딥러닝
- C언어 알고리즘
- 신경망파이썬
- 정보보안
- 보안
- 신경망
- 달고나bof
- 스트림암호
- 소프트맥스함수
- 파이썬신경망
- 버퍼오버플로우
- 백준알고리즘
- BOF
- 백준
- c언어
- 밑바닥부터시작하는딥러닝
- FTZlevel10
- 8086CPU레지스터
- 신경망구현
- 신경망 학습
- 알고리즘
- BOJ
Archives
- Today
- Total
HeeJ's
[06] pspcid&csrss 우회하기(PROCESS) :: Anti Memory Forensics/Volatility 본문
<Project>/<Anti Memory Forensic>_2020
[06] pspcid&csrss 우회하기(PROCESS) :: Anti Memory Forensics/Volatility
meow00 2020. 8. 2. 13:28OBJECT_HEADER 구조체의 TypeIndex를 변조하면 pspcid와 csrss 두 필드 모두 우회할 수 있다.
TypeIndex를 확인하기 위해 dt로 OBJECT_HEADER를 확인해주었다.
TypeIndex는 0x18에 위치해있다.
HxD로 MalwareProcess의 물리주소로 이동해주었다.
EPROCESS의 시그니처를 확인하고, 이로부터 0x18만큼 위로 이동했다.
OBJECTHEADER는 EPROCESS 위에 있기 때문이다.
07로 되어있는 TypeIndex 값을 00으로 변조해주었다.
그리고 psxview로 우회가 되었나 확인해주었다.
pspcid와 csrss가 은닉되었음을 확인할 수 있다.
'<Project> > <Anti Memory Forensic>_2020' 카테고리의 다른 글
| [08] deskthrd 우회하기(PROCESS) :: Anti Memory Forensics/Volatility (0) | 2020.08.05 |
|---|---|
| [07] session 우회하기(PROCESS) :: Anti Memory Forensics/Volatility (0) | 2020.08.04 |
| [05] thrdproc 우회하기(PROCESS) :: Anti Memory Forensics/Volatility (0) | 2020.08.02 |
| [04] psscan 우회하기(PROCESS) :: Anti Memory Forensics/Volatility (0) | 2020.08.02 |
| [03] pslist 우회하기(PROCESS) :: Anti Memory Forensics/Volatility (0) | 2020.08.01 |
'<Project>/<Anti Memory Forensic>_2020' Related Articles
more
