Notice
Recent Posts
Recent Comments
Link
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 | 31 |
Tags
- BOJ
- 파이썬
- 딥러닝파이썬
- C언어알고리즘
- 신경망파이썬
- 신경망 학습
- C언어 알고리즘
- 신경망구현
- 인공지능
- 소프트맥스함수
- 백준
- 머신러닝
- 딥러닝
- FTZlevel10
- 8086CPU레지스터
- 정보보안
- 달고나bof
- C알고리즘
- 파이썬신경망
- 활성화함수파이썬
- 백준알고리즘
- 신경망
- 알고리즘
- 스트림암호
- 보안
- c언어
- BOF
- 버퍼오버플로우
- 밑바닥부터시작하는딥러닝
- 항등함수
Archives
- Today
- Total
HeeJ's
[08] deskthrd 우회하기(PROCESS) :: Anti Memory Forensics/Volatility 본문
<Project>/<Anti Memory Forensic>_2020
[08] deskthrd 우회하기(PROCESS) :: Anti Memory Forensics/Volatility
meow00 2020. 8. 5. 01:17deskthrd 필드는 EPROCESS의 Win32PROCESS에 있는 자신의 EPROCESS 주소를 변조해주어야 한다.
MalwareProcess의 EPROCESS 구조체 중 Win32Process의 값을 확인
이 값을 hex 값으로 변환해 가상주소를 얻어주었다.
그리고 MalwareProcess의 KPROCESS의 DTB값을 확인해주고,
이 두 값을 이용해 물리주소 값을 확인해주었다.
0x5d1a5b0이 나왔다.
이 물리 주소 값으로 HxD를 이용해 이동해주었다.
MalwareProcess의 가상주소 값이 리틀엔디안 방식으로 들어있었다.
이 값을 GoogleUpdate.e의 가상주소로 변조해주었다.
그리고 psxview를 다시 보면,
MalwareProcess가 아예 사라져 은닉되었음을 알 수 있다.
PROCESS 은닉 성공
'<Project> > <Anti Memory Forensic>_2020' 카테고리의 다른 글
'<Project>/<Anti Memory Forensic>_2020' Related Articles
more
