mirror of
https://github.com/nganhkhoa/malware.git
synced 2024-06-10 21:32:07 +07:00
a
This commit is contained in:
parent
f72ca77e50
commit
190cc07d76
@ -53,7 +53,7 @@ Process Hollowingにも利用するデータに関する説明
|
|||||||
|
|
||||||
- 確保した0x2D000Byteの領域に.dataをすべてコピーするわけではなく,.dataのベースアドレス+0x7C3の位置からコピーを開始する
|
- 確保した0x2D000Byteの領域に.dataをすべてコピーするわけではなく,.dataのベースアドレス+0x7C3の位置からコピーを開始する
|
||||||
- +0x7C3のメモリダンプを確認すると,PEファイルのようである
|
- +0x7C3のメモリダンプを確認すると,PEファイルのようである
|
||||||
- +7C3の位置のデータもすべてをコピーするわけではなく,下図のように特定の条件にマッチした際に,1Byteずつ書き込みを行う(詳細は述べない)
|
- +0x7C3の位置のデータもすべてをコピーするわけではなく,下図のように特定の条件にマッチした際に,1Byteずつ書き込みを行う(詳細は述べない)
|
||||||
> 条件:0x3C <= ECX <= 0x3E or EAX <= ECX
|
> 条件:0x3C <= ECX <= 0x3E or EAX <= ECX
|
||||||
|
|
||||||
![](https://github.com/mether049/malware/blob/master/Trickbot/img/datacopy_5_modify_720.png)
|
![](https://github.com/mether049/malware/blob/master/Trickbot/img/datacopy_5_modify_720.png)
|
||||||
|
Loading…
Reference in New Issue
Block a user