| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | ||
| 6 | 7 | 8 | 9 | 10 | 11 | 12 |
| 13 | 14 | 15 | 16 | 17 | 18 | 19 |
| 20 | 21 | 22 | 23 | 24 | 25 | 26 |
| 27 | 28 | 29 | 30 | 31 |
- 파이썬신경망
- 밑바닥부터시작하는딥러닝
- 스트림암호
- c언어
- 8086CPU레지스터
- 항등함수
- 파이썬
- 신경망파이썬
- 활성화함수파이썬
- C알고리즘
- C언어알고리즘
- 신경망
- 백준알고리즘
- 소프트맥스함수
- 딥러닝
- 신경망구현
- 머신러닝
- 정보보안
- 버퍼오버플로우
- 백준
- FTZlevel10
- 보안
- 딥러닝파이썬
- BOF
- 알고리즘
- 신경망 학습
- 인공지능
- C언어 알고리즘
- 달고나bof
- BOJ
- Today
- Total
HeeJ's
[19] dlllist 우회하기(3)(DLL/THREAD) :: Anti Memory Forensics/Volatility 본문
[19] dlllist 우회하기(3)(DLL/THREAD) :: Anti Memory Forensics/Volatility
meow00 2020. 8. 14. 03:01[18] dlllist 우회하기(2)(DLL/THREAD) :: Anti Memory Forensics/Volatility
이어서
ldrmodules
앞서 dlllist가 은닉되는 것을 확인해주었지만,
dlllist가 은닉되었다고 DLL이 전부 은닉된 것은 아니다.
ldrmodules라는 플러그인으로 확인해주면 dlllist에서 숨겨진 영역을 확인할 수 있다.
따라서 InInitializationORderModuleList영역도 우회를 진행해주어야 한다.
이 주소(0x174E67F0)에는 InInitializationOrderModuleList의 Flink값인 0x00372F60은 다음 dll인 wow64.dll을 가리킨다.
이 값을 _PEB_LDR_DATA의 InInitializationOrderModuleList의 Flink값에 넣어주면
_PEB_LDR_DATA의 InInitializationOrderModuleList Flink 값이 wow64.dll을 가리키며
ntdll.dll의 InInitializationOrderModuleList가 은닉된다.
InLoad, InInit, InMem 세 가지 영역이 모두 False로 나타난 것을 확인하고,
dlllist가 제대로 은닉되었음을 알 수 있다.
