mirror of
https://github.com/nganhkhoa/malware.git
synced 2024-06-10 21:32:07 +07:00
Update analysis_processhollowing.md
This commit is contained in:
parent
0b1b180d90
commit
3d0752972b
@ -88,7 +88,7 @@ Process Hollowingにも利用するデータに関する説明
|
||||
![](https://github.com/mether049/malware/blob/master/Trickbot/img/heavensgate_11_720.png)
|
||||
|
||||
- ここから64bitの命令群に遷移する(32bit向けのユーザモードデバッガでの追跡が困難になる。WinDbgなどのカーネルモードデバッガなら追跡可能)
|
||||
- 遷移先は0x100100であり,先ほどPEファイルの.text以下をコピーした領域である(64bitPEファイルを保存してそれに対してユーザモードデバッガでデバッグすることは可能)
|
||||
- 遷移先は0x10001000であり,先ほどPEファイルの.text以下をコピーした領域である(64bitPEファイルを保存してそれに対してユーザモードデバッガでデバッグすることは可能)
|
||||
![](https://github.com/mether049/malware/blob/master/Trickbot/img/heavensgate_16_720.png)
|
||||
|
||||
- ntdll.dllのexport table上の関数名リストから1つずつ関数名字列をとりだして目的の(Process Hollowingに利用すると思われる)関数名と一致するものを探し,さらにそのアドレスを取得する?(ここは詳細に確認していない。このあたりは[こちら](https://www.cyberbit.com/blog/endpoint-security/latest-trickbot-variant-has-new-tricks-up-its-sleeve/)でも詳しく書かれている気がする)
|
||||
|
Loading…
Reference in New Issue
Block a user