From 190cc07d768b5015ef8428177f6b4990dbf525ca Mon Sep 17 00:00:00 2001 From: mether049 Date: Wed, 15 Jan 2020 22:21:50 +0900 Subject: [PATCH] a --- Trickbot/analysis_processhollowing.md | 2 +- 1 file changed, 1 insertion(+), 1 deletion(-) diff --git a/Trickbot/analysis_processhollowing.md b/Trickbot/analysis_processhollowing.md index d537c90..9f4496d 100644 --- a/Trickbot/analysis_processhollowing.md +++ b/Trickbot/analysis_processhollowing.md @@ -53,7 +53,7 @@ Process Hollowingにも利用するデータに関する説明 - 確保した0x2D000Byteの領域に.dataをすべてコピーするわけではなく,.dataのベースアドレス+0x7C3の位置からコピーを開始する - +0x7C3のメモリダンプを確認すると,PEファイルのようである -- +7C3の位置のデータもすべてをコピーするわけではなく,下図のように特定の条件にマッチした際に,1Byteずつ書き込みを行う(詳細は述べない) +- +0x7C3の位置のデータもすべてをコピーするわけではなく,下図のように特定の条件にマッチした際に,1Byteずつ書き込みを行う(詳細は述べない) > 条件:0x3C <= ECX <= 0x3E or EAX <= ECX ![](https://github.com/mether049/malware/blob/master/Trickbot/img/datacopy_5_modify_720.png)