From 5d25a1403060c6090ded67f2d824b8e340df8e21 Mon Sep 17 00:00:00 2001 From: mether049 Date: Sun, 1 Mar 2020 03:49:26 +0900 Subject: [PATCH] Update detecting_ph_process.md --- detecting_ph_process.md | 6 +++--- 1 file changed, 3 insertions(+), 3 deletions(-) diff --git a/detecting_ph_process.md b/detecting_ph_process.md index 9c7520b..0af7ea0 100644 --- a/detecting_ph_process.md +++ b/detecting_ph_process.md @@ -187,9 +187,9 @@ python vol.py --profile=[profile] -f ../output.dmp pstree | grep svchost.exe ![](https://github.com/mether049/malware/blob/master/Trickbot/img/Identification%20of%20Hollowed%20out%20processes/volatility4.PNG?raw=true) -ID:11228のプロセスのみ他のsvchost.exeと明らかに階層が異なり,親プロセスのIDも異なることを確認 +PID:11228のプロセスのみ他のsvchost.exeと明らかに階層が異なり,親プロセスのIDも異なることを確認 -5. ID:11228とそれ以外のsvchost.exeの親プロセスを確認 +5. PID:11228とそれ以外のsvchost.exeの親プロセスを確認 ``` python vol.py --profile=[profile] -f ../output.dmp pslist -p 604 ``` @@ -206,7 +206,7 @@ python vol.py --profile=[profile] -f ../output.dmp pslist -p 11020 PID:11020の親プロセスはメモリ上に存在せず確認できなかった。おそらく,Process Hollowingした後にTerminateされた -以上を踏まえると,ID:11228のsvchost.exeが不自然でありProcess Hollowingされたプロセスであると予想される +以上を踏まえると,PID:11228のsvchost.exeが不自然でありProcess Hollowingされたプロセスであると予想される ref: [What Malware Authors Don't Want You To Know Evasive Hollow Process Injection](blackhat.com/docs/asia-17/materials/asia-17-KA-What-Malware-Authors-Don't-Want-You-To-Know-Evasive-Hollow-Process-Injection.pdf)