Windows 보호기법의 우회 MS 는 SetProcessValidCallTargets 라는 API를 process 에 있는 arbitrary address 를 화이트리스팅하기 위해서 사용한다. SetProcessValidCallTargets 는 내부적으로 ntdll!NtSetInformationVirtualMemory 를 VmInformationClass=VmCfgCallTargetInformation 으로 실행한다. 1 2 3 4 5 6 7 //Whitelisting an arbitrary address HANDLE p = OpenProcess(PROCESS_QUERY_INFORMATION | PROCESS_VM_OPERATION, FLASE, process_id) MEMORY_BASIC_INFORM..
Process Injection 는 악성코드에 의해서 사용되며 용도는 다음과 같다. 1. malware 가 더 강력한 은폐 능력을 얻기 위해서 2. AV 같은 보안 제품을 우회하기 위해(예를 들어 네트워크 접속에 대한 권한이 허용된 프로세스에 Injection을 한다면 우회가능) 이 문서의 타겟은 'Windows 10 x64 1803+ 64bit processes' / medium integrity process (즉 권한 상승이필요한 경우는 제외함) CFG 그리고 CIG 를 적용한 상태 그리고 적용하지 않은 상태에서 테크닉을 사용해보았음 Injection 기술의 분류 1. Process spawning 이 방식은 정상적인 실행 파일의 프로세스를 생성한 후 이 프로세스를 시작(running)하기 전에 변..
- Total
- Today
- Yesterday
- GDB
- 드라이버
- 변환
- module
- Intel
- VMware
- rootkit
- LKM
- BP
- gdb intel
- gdb 명령어
- gdb명령어
- 리눅스 모듈
- gdb intel 변환
- 레거시 드라이버
- PNP 드라이버
- 루트킷
- 백도어
- 디바이스
- breakpoint
- backdoor
- IRP
- vmware 오류
- DriverEntry
- 모듈
- vmware cannot connect to the virtual machine
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 | 31 |