[09] netscan 우회하기(NETWORK) :: Anti Memory Forensics/Volatility

메모리 분석 절차 3번째, NETWORK 영역 우회하기

 

그 중, 대표적인 NETWORK 플러그인인 netscan을 은닉해보려고 한다.

이 영역에서는 System의 netscan의 영역을 변조해보려고 한다.

 

HxD를 이용해 System의 물리주소로 이동해주었다.

 

TCP_LISTENER의 시그니처인 TcpL(54 63 70 4C)가 보였다.

 

이 영역을 전부 00으로 변조해주었다.

 

그리고 netscan을 다시 확인해주었다.

System 영역이 사라진 것을(은닉) 확인할 수 있었다.

 

NETWORK 영역 플러그인 netscan 은닉 성공!