Notice
Recent Posts
Recent Comments
Link
반응형
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | ||
| 6 | 7 | 8 | 9 | 10 | 11 | 12 |
| 13 | 14 | 15 | 16 | 17 | 18 | 19 |
| 20 | 21 | 22 | 23 | 24 | 25 | 26 |
| 27 | 28 | 29 | 30 |
Tags
- 백준
- BOF
- 신경망
- 머신러닝
- 딥러닝
- 밑바닥부터시작하는딥러닝
- 파이썬신경망
- 스트림암호
- c언어
- 보안
- 항등함수
- 달고나bof
- 소프트맥스함수
- BOJ
- C언어 알고리즘
- 딥러닝파이썬
- 신경망구현
- 활성화함수파이썬
- 신경망파이썬
- FTZlevel10
- 알고리즘
- 파이썬
- 백준알고리즘
- 신경망 학습
- 인공지능
- C언어알고리즘
- C알고리즘
- 버퍼오버플로우
- 정보보안
- 8086CPU레지스터
Archives
- Today
- Total
HeeJ's
[13] strings 우회하기(STRING) :: Anti Memory Forensics/Rekall 본문
<Project>/<Anti Memory Forensic>_2020
[13] strings 우회하기(STRING) :: Anti Memory Forensics/Rekall
meow00 2020. 8. 12. 02:32
MalwareProcess의 PID가 2752인 것을 이용해(Volatility strings 참고)
memdump 명령어를 이용해 덤프를 떠주었다.
덤프 파일을 strings 명령어를 이용해 txt파일로 변환해주었다.
이 때, Rekall 창에서 실행하는 것이 아닌 새 터미널 창을 열어주어 실행시켜야 한다.
이 .txt 파일에서 MalwareProcess라는 단어를 검색해보았는데 나오지 않았다.
또한, Volatility와 전혀 다른 메모리 덤프 파일이 생성되었다.
그래서 그냥 윗부분 언저리에서 확인할 수 있는 문자열인 Wow64ApcRoutine을 찾아가서
우회를 시도하려고 한다.
HxD로 이 문자열을 따라가
값을 전부 00으로 변조해주었다.
그리고 MalwareProcess를 다시 덤프 떠준 후,
새로 .txt파일을 만들어 주었는데,
기존 txt파일과 비교하기 위해 new라는 키워드를 추가해주었다.
아까 그 위치에 가보면 Wow64ApcRoutine이라는 문자열이 사라진 것을 확인할 수 있다.
그리고 혹시나 해서 이 문자열을 검색해주었다.
전혀 다른 위치에서 검색되었으며,
이 문자열은 은닉해준 문자열과 다른 문자열이라는 것을 알 수 있다.
Rekall에서 strings 은닉 성공
출처
SixZero S2✨
반응형
'<Project> > <Anti Memory Forensic>_2020' 카테고리의 다른 글
| [15] hivelist 우회하기(REGISTRY) :: Anti Memory Forensics/Volatility (0) | 2020.08.12 |
|---|---|
| [14] netscan 우회하기(NETWORT) :: Anti memory Forensics/Rekall (0) | 2020.08.12 |
| [12]Rekall 시작하기 :: Anti Memory Forensics/Rekall (0) | 2020.08.11 |
| [11] strings 우회하기(STRING) :: Anti Memory Forensics/Volatility (0) | 2020.08.06 |
| [10] hivescan 우회하기(REGISTRY) :: Anti Memory Forensics/Volatility (0) | 2020.08.05 |
'<Project>/<Anti Memory Forensic>_2020' Related Articles
more
