[10] hivescan 우회하기(REGISTRY) :: Anti Memory Forensics/Volatility

hivescan으로 메모리에서 CMHIVE의 실제 주소를 확인해보았다.

 

중간에 있는 0x000000000ebfb010을 은닉해보려고 한다.

 

우선 HxD로 0ebfb010으로 이동해주고

 

 

hivescan을 우회하는 방법은 두 가지 이다.

 

1.

CMHIVE 영역인 CM10(43 4D 31 30)을 변조한다.

 

2.

0x000000000ebfb010의 시그니처 부분을 변조한다.

 

둘 중 한 가지만 적용해주어도

(저는 첫 번째 방법을 적용했습니다.)

0x000000000ebfb010이 은닉된 것을 확인할 수 있다.

 

REGISTRY 영역 플러그인인 hivescan은닉 성공