[13] strings 우회하기(STRING) :: Anti Memory Forensics/Rekall

MalwareProcess의 PID가 2752인 것을 이용해(Volatility strings 참고)

memdump 명령어를 이용해 덤프를 떠주었다.

 

덤프 파일을 strings 명령어를 이용해 txt파일로 변환해주었다.

이 때, Rekall 창에서 실행하는 것이 아닌 새 터미널 창을 열어주어 실행시켜야 한다.

 

이 .txt 파일에서 MalwareProcess라는 단어를 검색해보았는데 나오지 않았다.

또한, Volatility와 전혀 다른 메모리 덤프 파일이 생성되었다.

 

그래서 그냥 윗부분 언저리에서 확인할 수 있는 문자열인 Wow64ApcRoutine을 찾아가서

우회를 시도하려고 한다.

 

HxD로 이 문자열을 따라가

 

값을 전부 00으로 변조해주었다.

 

그리고 MalwareProcess를 다시 덤프 떠준 후,

 

새로 .txt파일을 만들어 주었는데,

기존 txt파일과 비교하기 위해 new라는 키워드를 추가해주었다.

 

아까 그 위치에 가보면 Wow64ApcRoutine이라는 문자열이 사라진 것을 확인할 수 있다.

 

그리고 혹시나 해서 이 문자열을 검색해주었다.

전혀 다른 위치에서 검색되었으며,

이 문자열은 은닉해준 문자열과 다른 문자열이라는 것을 알 수 있다.

 

Rekall에서 strings 은닉 성공

 

 

출처

SixZero S2✨

https://blog.naver.com/i1004yu/222052510088