mirror of
https://github.com/nganhkhoa/malware.git
synced 2024-06-10 21:32:07 +07:00
Update detecting_ph_process.md
This commit is contained in:
parent
7538cc3398
commit
5d25a14030
@ -187,9 +187,9 @@ python vol.py --profile=[profile] -f ../output.dmp pstree | grep svchost.exe
|
|||||||
|
|
||||||
![](https://github.com/mether049/malware/blob/master/Trickbot/img/Identification%20of%20Hollowed%20out%20processes/volatility4.PNG?raw=true)
|
![](https://github.com/mether049/malware/blob/master/Trickbot/img/Identification%20of%20Hollowed%20out%20processes/volatility4.PNG?raw=true)
|
||||||
|
|
||||||
ID:11228のプロセスのみ他のsvchost.exeと明らかに階層が異なり,親プロセスのIDも異なることを確認
|
PID:11228のプロセスのみ他のsvchost.exeと明らかに階層が異なり,親プロセスのIDも異なることを確認
|
||||||
|
|
||||||
5. ID:11228とそれ以外のsvchost.exeの親プロセスを確認
|
5. PID:11228とそれ以外のsvchost.exeの親プロセスを確認
|
||||||
```
|
```
|
||||||
python vol.py --profile=[profile] -f ../output.dmp pslist -p 604
|
python vol.py --profile=[profile] -f ../output.dmp pslist -p 604
|
||||||
```
|
```
|
||||||
@ -206,7 +206,7 @@ python vol.py --profile=[profile] -f ../output.dmp pslist -p 11020
|
|||||||
|
|
||||||
PID:11020の親プロセスはメモリ上に存在せず確認できなかった。おそらく,Process Hollowingした後にTerminateされた
|
PID:11020の親プロセスはメモリ上に存在せず確認できなかった。おそらく,Process Hollowingした後にTerminateされた
|
||||||
|
|
||||||
以上を踏まえると,ID:11228のsvchost.exeが不自然でありProcess Hollowingされたプロセスであると予想される
|
以上を踏まえると,PID:11228のsvchost.exeが不自然でありProcess Hollowingされたプロセスであると予想される
|
||||||
|
|
||||||
ref: [What Malware Authors Don't Want You To Know Evasive Hollow Process Injection](blackhat.com/docs/asia-17/materials/asia-17-KA-What-Malware-Authors-Don't-Want-You-To-Know-Evasive-Hollow-Process-Injection.pdf)<br>
|
ref: [What Malware Authors Don't Want You To Know Evasive Hollow Process Injection](blackhat.com/docs/asia-17/materials/asia-17-KA-What-Malware-Authors-Don't-Want-You-To-Know-Evasive-Hollow-Process-Injection.pdf)<br>
|
||||||
|
|
||||||
|
Loading…
Reference in New Issue
Block a user