[04] psscan 우회하기(PROCESS) :: Anti Memory Forensics/Volatility

psscan은 Pool tag를 변조함으로써 은닉할 수 있다.

 

HxD로 MalwareProcess의 물리주소로 이동해주었다.

 

EPROCESS 헤더 시그니처인 03 00 58 00 위에 풀태그 시그니처인 50 72 6F E3을 볼 수 있다.

 

이 값은 psscan이 참조하기 때문에 이 값 4byte 중에 아무 값이나 변조하면 우회시킬 수 있다.

psxview로 살펴보면

 

MalwareProcess의 psscan 은닉 성공