mirror of
https://github.com/nganhkhoa/malware.git
synced 2024-06-10 21:32:07 +07:00
Update malware-tech_ref_and_memo.md
This commit is contained in:
parent
69ad437954
commit
4efb6cae03
@ -327,6 +327,15 @@ New-Object System.IO.Compression.DeflateStream([iO.mEmoRySTream] [sysTEM.ConVert
|
|||||||
- レジスタにAPIのアドレスをsetして,jmpしてAPIを呼び出し
|
- レジスタにAPIのアドレスをsetして,jmpしてAPIを呼び出し
|
||||||
- スタックにAPIのアドレスをsetして,retでAPIを呼び出し
|
- スタックにAPIのアドレスをsetして,retでAPIを呼び出し
|
||||||
|
|
||||||
|
## Poisoning CRT
|
||||||
|
- C/C++ランタイムライブラリに悪性コードを注入,特定のランタイム関数の改ざん
|
||||||
|
- 改ざんされた事例があるランタイム関数
|
||||||
|
- __crtExitProcess():プロセスの終了。管理アプリケーションか否かのチェック
|
||||||
|
- __scrt_common_man_seh():cランタイムライブラリ_mainCRTStartupのEntryPoint
|
||||||
|
- _security_init_cookie():セキュリティチェックを行う関数。バッファオバーフローを防ぐ
|
||||||
|
- _initterm():関数ぽインターテーブルのエントリー呼び出し
|
||||||
|
- コンパイラレベルで改ざんされるため,サプライチェーン攻撃として利用されることがある
|
||||||
|
|
||||||
# Persistence
|
# Persistence
|
||||||
## Registry
|
## Registry
|
||||||
- 利用されるWin32API
|
- 利用されるWin32API
|
||||||
|
Loading…
Reference in New Issue
Block a user