nganhkhoa/mether049-malware
1
0
Fork 0
mirror of https://github.com/nganhkhoa/malware.git synced 2024-06-10 21:32:07 +07:00
Code Issues Projects Releases Wiki Activity

a

Browse Source
This commit is contained in:
mether049 2020-01-15 22:21:50 +09:00 committed by GitHub
parent f72ca77e50
commit 190cc07d76
No known key found for this signature in database
GPG Key ID: 4AEE18F83AFDEB23
1 changed files with 1 additions and 1 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

2
Trickbot/analysis_processhollowing.md
View File

@ -53,7 +53,7 @@ Process Hollowingにも利用するデータに関する説明
- 確保した0x2D000Byteの領域に.dataをすべてコピーするわけではなく.dataのベースアドレス+0x7C3の位置からコピーを開始する - 確保した0x2D000Byteの領域に.dataをすべてコピーするわけではなく.dataのベースアドレス+0x7C3の位置からコピーを開始する
- +0x7C3のメモリダンプを確認するとPEファイルのようである - +0x7C3のメモリダンプを確認するとPEファイルのようである
- +7C3の位置のデータもすべてをコピーするわけではなく下図のように特定の条件にマッチした際にByteずつ書き込みを行う(詳細は述べない) - +0x7C3の位置のデータもすべてをコピーするわけではなく下図のように特定の条件にマッチした際にByteずつ書き込みを行う(詳細は述べない)
> 条件0x3C <= ECX <= 0x3E or EAX <= ECX > 条件0x3C <= ECX <= 0x3E or EAX <= ECX
![](https://github.com/mether049/malware/blob/master/Trickbot/img/datacopy_5_modify_720.png) ![](https://github.com/mether049/malware/blob/master/Trickbot/img/datacopy_5_modify_720.png)