1
0
mirror of https://github.com/nganhkhoa/malware.git synced 2024-06-10 21:32:07 +07:00

Update detecting_ph_process.md

This commit is contained in:
mether049 2020-03-01 03:49:26 +09:00 committed by GitHub
parent 7538cc3398
commit 5d25a14030
No known key found for this signature in database
GPG Key ID: 4AEE18F83AFDEB23

View File

@ -187,9 +187,9 @@ python vol.py --profile=[profile] -f ../output.dmp pstree | grep svchost.exe
![](https://github.com/mether049/malware/blob/master/Trickbot/img/Identification%20of%20Hollowed%20out%20processes/volatility4.PNG?raw=true) ![](https://github.com/mether049/malware/blob/master/Trickbot/img/Identification%20of%20Hollowed%20out%20processes/volatility4.PNG?raw=true)
ID:11228のプロセスのみ他のsvchost.exeと明らかに階層が異なり親プロセスのIDも異なることを確認 PID:11228のプロセスのみ他のsvchost.exeと明らかに階層が異なり親プロセスのIDも異なることを確認
5. ID:11228とそれ以外のsvchost.exeの親プロセスを確認 5. PID:11228とそれ以外のsvchost.exeの親プロセスを確認
``` ```
python vol.py --profile=[profile] -f ../output.dmp pslist -p 604 python vol.py --profile=[profile] -f ../output.dmp pslist -p 604
``` ```
@ -206,7 +206,7 @@ python vol.py --profile=[profile] -f ../output.dmp pslist -p 11020
PID:11020の親プロセスはメモリ上に存在せず確認できなかった。おそらくProcess Hollowingした後にTerminateされた PID:11020の親プロセスはメモリ上に存在せず確認できなかった。おそらくProcess Hollowingした後にTerminateされた
以上を踏まえるとID:11228のsvchost.exeが不自然でありProcess Hollowingされたプロセスであると予想される 以上を踏まえると,PID:11228のsvchost.exeが不自然でありProcess Hollowingされたプロセスであると予想される
ref: [What Malware Authors Don't Want You To Know Evasive Hollow Process Injection](blackhat.com/docs/asia-17/materials/asia-17-KA-What-Malware-Authors-Don't-Want-You-To-Know-Evasive-Hollow-Process-Injection.pdf)<br> ref: [What Malware Authors Don't Want You To Know Evasive Hollow Process Injection](blackhat.com/docs/asia-17/materials/asia-17-KA-What-Malware-Authors-Don't-Want-You-To-Know-Evasive-Hollow-Process-Injection.pdf)<br>