1
0
mirror of https://github.com/nganhkhoa/malware.git synced 2024-06-10 21:32:07 +07:00

Update malware-tech_ref_and_memo.md

This commit is contained in:
mether049 2020-02-22 23:59:54 +09:00 committed by GitHub
parent 69ad437954
commit 4efb6cae03
No known key found for this signature in database
GPG Key ID: 4AEE18F83AFDEB23

View File

@ -327,6 +327,15 @@ New-Object System.IO.Compression.DeflateStream([iO.mEmoRySTream] [sysTEM.ConVert
- レジスタにAPIのアドレスをsetしてjmpしてAPIを呼び出し - レジスタにAPIのアドレスをsetしてjmpしてAPIを呼び出し
- スタックにAPIのアドレスをsetしてretでAPIを呼び出し - スタックにAPIのアドレスをsetしてretでAPIを呼び出し
## Poisoning CRT
- C/C++ランタイムライブラリに悪性コードを注入,特定のランタイム関数の改ざん
- 改ざんされた事例があるランタイム関数
- __crtExitProcess():プロセスの終了。管理アプリケーションか否かのチェック
- __scrt_common_man_seh():cランタイムライブラリ_mainCRTStartupのEntryPoint
- _security_init_cookie():セキュリティチェックを行う関数。バッファオバーフローを防ぐ
- _initterm():関数ぽインターテーブルのエントリー呼び出し
- コンパイラレベルで改ざんされるため,サプライチェーン攻撃として利用されることがある
# Persistence # Persistence
## Registry ## Registry
- 利用されるWin32API - 利用されるWin32API