Notice
Recent Posts
Recent Comments
Link
일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 | 31 |
Tags
- 신경망
- 파이썬신경망
- 백준알고리즘
- c언어
- 정보보안
- 버퍼오버플로우
- FTZlevel10
- C언어알고리즘
- 알고리즘
- 머신러닝
- 보안
- 신경망파이썬
- 8086CPU레지스터
- 밑바닥부터시작하는딥러닝
- C언어 알고리즘
- C알고리즘
- 달고나bof
- 신경망 학습
- 파이썬
- 신경망구현
- 소프트맥스함수
- 백준
- 인공지능
- 항등함수
- 딥러닝
- BOJ
- BOF
- 스트림암호
- 딥러닝파이썬
- 활성화함수파이썬
Archives
- Today
- Total
HeeJ's
[06] pspcid&csrss 우회하기(PROCESS) :: Anti Memory Forensics/Volatility 본문
<Project>/<Anti Memory Forensic>_2020
[06] pspcid&csrss 우회하기(PROCESS) :: Anti Memory Forensics/Volatility
meow00 2020. 8. 2. 13:28OBJECT_HEADER 구조체의 TypeIndex를 변조하면 pspcid와 csrss 두 필드 모두 우회할 수 있다.
TypeIndex를 확인하기 위해 dt로 OBJECT_HEADER를 확인해주었다.
TypeIndex는 0x18에 위치해있다.
HxD로 MalwareProcess의 물리주소로 이동해주었다.
EPROCESS의 시그니처를 확인하고, 이로부터 0x18만큼 위로 이동했다.
OBJECTHEADER는 EPROCESS 위에 있기 때문이다.
07로 되어있는 TypeIndex 값을 00으로 변조해주었다.
그리고 psxview로 우회가 되었나 확인해주었다.
pspcid와 csrss가 은닉되었음을 확인할 수 있다.
'<Project> > <Anti Memory Forensic>_2020' 카테고리의 다른 글
[08] deskthrd 우회하기(PROCESS) :: Anti Memory Forensics/Volatility (0) | 2020.08.05 |
---|---|
[07] session 우회하기(PROCESS) :: Anti Memory Forensics/Volatility (0) | 2020.08.04 |
[05] thrdproc 우회하기(PROCESS) :: Anti Memory Forensics/Volatility (0) | 2020.08.02 |
[04] psscan 우회하기(PROCESS) :: Anti Memory Forensics/Volatility (0) | 2020.08.02 |
[03] pslist 우회하기(PROCESS) :: Anti Memory Forensics/Volatility (0) | 2020.08.01 |