Notice
Recent Posts
Recent Comments
Link
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | ||
| 6 | 7 | 8 | 9 | 10 | 11 | 12 |
| 13 | 14 | 15 | 16 | 17 | 18 | 19 |
| 20 | 21 | 22 | 23 | 24 | 25 | 26 |
| 27 | 28 | 29 | 30 | 31 |
Tags
- FTZlevel10
- 알고리즘
- 항등함수
- 파이썬신경망
- 백준알고리즘
- c언어
- 소프트맥스함수
- 신경망파이썬
- 신경망
- C언어 알고리즘
- 딥러닝
- 머신러닝
- C알고리즘
- 스트림암호
- 신경망구현
- 버퍼오버플로우
- 백준
- 밑바닥부터시작하는딥러닝
- 딥러닝파이썬
- 달고나bof
- BOJ
- 보안
- C언어알고리즘
- 신경망 학습
- 인공지능
- 활성화함수파이썬
- BOF
- 정보보안
- 8086CPU레지스터
- 파이썬
Archives
- Today
- Total
HeeJ's
[10] hivescan 우회하기(REGISTRY) :: Anti Memory Forensics/Volatility 본문
<Project>/<Anti Memory Forensic>_2020
[10] hivescan 우회하기(REGISTRY) :: Anti Memory Forensics/Volatility
meow00 2020. 8. 5. 21:08
hivescan으로 메모리에서 CMHIVE의 실제 주소를 확인해보았다.
중간에 있는 0x000000000ebfb010을 은닉해보려고 한다.
우선 HxD로 0ebfb010으로 이동해주고
hivescan을 우회하는 방법은 두 가지 이다.
1.
CMHIVE 영역인 CM10(43 4D 31 30)을 변조한다.
2.
0x000000000ebfb010의 시그니처 부분을 변조한다.
둘 중 한 가지만 적용해주어도
(저는 첫 번째 방법을 적용했습니다.)
0x000000000ebfb010이 은닉된 것을 확인할 수 있다.
REGISTRY 영역 플러그인인 hivescan은닉 성공
'<Project> > <Anti Memory Forensic>_2020' 카테고리의 다른 글
| [12]Rekall 시작하기 :: Anti Memory Forensics/Rekall (0) | 2020.08.11 |
|---|---|
| [11] strings 우회하기(STRING) :: Anti Memory Forensics/Volatility (0) | 2020.08.06 |
| [09] netscan 우회하기(NETWORK) :: Anti Memory Forensics/Volatility (0) | 2020.08.05 |
| [08] deskthrd 우회하기(PROCESS) :: Anti Memory Forensics/Volatility (0) | 2020.08.05 |
| [07] session 우회하기(PROCESS) :: Anti Memory Forensics/Volatility (0) | 2020.08.04 |
'<Project>/<Anti Memory Forensic>_2020' Related Articles
more
