[08] deskthrd 우회하기(PROCESS) :: Anti Memory Forensics/Volatility

deskthrd 필드는 EPROCESS의 Win32PROCESS에 있는 자신의 EPROCESS 주소를 변조해주어야 한다.

 

MalwareProcess의 EPROCESS 구조체 중 Win32Process의 값을 확인

이 값을 hex 값으로 변환해 가상주소를 얻어주었다.

그리고 MalwareProcess의 KPROCESS의 DTB값을 확인해주고,

이 두 값을 이용해 물리주소 값을 확인해주었다.

 

 0x5d1a5b0이 나왔다.

이 물리 주소 값으로 HxD를 이용해 이동해주었다.

MalwareProcess의 가상주소 값이 리틀엔디안 방식으로 들어있었다.

 

이 값을 GoogleUpdate.e의 가상주소로 변조해주었다.

그리고 psxview를 다시 보면,

MalwareProcess가 아예 사라져 은닉되었음을 알 수 있다.

 

PROCESS 은닉 성공