HeeJ's

psscan은 Pool tag를 변조함으로써 은닉할 수 있다. HxD로 MalwareProcess의 물리주소로 이동해주었다. EPROCESS 헤더 시그니처인 03 00 58 00 위에 풀태그 시그니처인 50 72 6F E3을 볼 수 있다. 이 값은 psscan이 참조하기 때문에 이 값 4byte 중에 아무 값이나 변조하면 우회시킬 수 있다. psxview로 살펴보면 MalwareProcess의 psscan 은닉 성공

psxview의 필드들의 우회를 진행해보려고 한다. 실습환경 : Windows10 x64 psxview의 필드들 중, pslist 우회를 제일 먼저 진행해보고자 한다. 우회를 진행할 프로세스는 MalwareProcess이다. volshell을 실행시키고, ps() 명령어로 MalwareProcess의 가상주소를 확인해주었다. => 0xfffffa80090bb600 MalwareProcess의 Flink 주소를 IMGSF50Start_x의 Flink에 넣어주어 IMGSF50Start_x의 Flink가 GoogleUpdate를 가리키게 하여 MalwareProcess를 은닉. 위의 방법으로 pslist를 은닉해보려고 한다. 그러기 위해서 MalwareProcess의 EPROCESS를 확인해 0x188에 위치..

우회에 사용할 sample.vmem을 볼라틸리티로 열어주었다. ps() 명령어로 활성화되어있는 프로세스들을 확인해주었다. 여기서, System 프로세스의 offset을 이용해 EPROCESS 구조체를 확인해보려고 한다. 구조체 중, 0x188에 위치한 ActiveProcessLinks에 주목해야 한다. EPROCESS 안에 있는 ActiveProcessLinks의 Flink, Blink를 통해서 다른 프로세스로 이동하기 때문이다. LIST_ENTRY는 Flink와 Blink로 이루어져 있고, Flink는 다음 프로세스를, Blink는 이전 프로세스를 가리키는 포인터이다. 이제, System 프로세스의 LIST_ENTRY를 확인해보자. 다음 프로세스인 smss.exe로 이동하기 위해 Flink값을 사용해서..

Volatility? 파이썬 기반의 오픈 소스 메모리 포렌식 툴 CLI 인터페이스를 제공한다. 플러그인 형태로 다양한 기능들을 제공하는데, 자신이 직접 플러그인을 만들어서 사용 가능 Volatility 플러그인 pstree : 프로세스를 트리구조로 출력 pslist : 프로세스 리스트 출력 (가상 주소) psscan : 프로세스 리스트 출력 (물리적 주소) psxview : 프로세스 은닉 탐지를 위해 다양한 방식으로 프로세스 등을 조회 procdump : 프로세스 실행파일 추출 memdump : 프로세스가 사용한 전체 메모리 영역 덤프 filescan : 메모리상의 파일 오브젝트 전체 검색 hivelist : 메모리상의 파일 cmdscan : cmd에서 실행한 명령어 확인 cmdline : cmd에서 실..

안티 포렌식이란 디지털 포렌식 기술에 대응하여 자신에게 불리하게 작용할 가능성이 있는 증거물을 훼손하거나 차단하는 일련의 행위를 말한다. 최근에는, 안티포렌식을 자동화해주는 안티포렌식 전문 도구들도 등장하고 있다. ▷안티 포렌식의 목적 탐지를 회피하거나 정보 수집을 방해한다. 수사관의 분석 시간을 증가시킨다. 안티 포렌식 툴이 돌아가는 동안 증거를 남기지 않는다. 디지털포렌식 도구가 동작하지 못하도록 하거나 오류를 발생시킨다. 범죄자의 사용 흔적이나 도구 실행 흔적을 발견하지 못하도록 로깅을 차단/우회하거나 삭제한다. 법정 보고서나 증언으로서 가치가 없도록 증거를 훼손시킨다. ▷안티포렌식 기법 데이터 파괴, 데이터 암호화, 데이터 은닉, 데이터 조작, 풋프린트 최소화, 분석 시간 증가 1. 데이터 파괴 ..