From 7842648bdf190d6c8bcb9262db7b437faf7da240 Mon Sep 17 00:00:00 2001
From: mether049 <cstt17009@g.nihon-u.ac.jp>
Date: Mon, 3 Feb 2020 23:30:29 +0900
Subject: [PATCH] Update analysis_processhollowing.md

---
 Trickbot/analysis_processhollowing.md | 4 ++--
 1 file changed, 2 insertions(+), 2 deletions(-)

diff --git a/Trickbot/analysis_processhollowing.md b/Trickbot/analysis_processhollowing.md
index 9f4496d..b9c0e95 100644
--- a/Trickbot/analysis_processhollowing.md
+++ b/Trickbot/analysis_processhollowing.md
@@ -87,8 +87,8 @@ Process Hollowingにも利用するデータに関する説明
 
 ![](https://github.com/mether049/malware/blob/master/Trickbot/img/heavensgate_11_720.png)
 
-- ここから64bitの命令群に遷移する(32bit向けのユーザモードデバッガでの追跡が困難になる。WinDbgなどのカーネルモードデバッガなら追跡可能)
-- 遷移先は0x10001000であり，先ほどPEファイルの.text以下をコピーした領域である（64bitPEファイルを保存してそれに対してユーザモードデバッガでデバッグすることは可能）
+- ここから64bitの命令群に遷移する(32bit向けのユーザモードデバッガでの追跡が困難になる。WinDbgなら追跡可能)
+- 遷移先は0x10001000であり，先ほどPEファイルの.text以下をコピーした領域である（64bitPEファイルを保存してそれに対してデバッガでデバッグすることは可能）
 ![](https://github.com/mether049/malware/blob/master/Trickbot/img/heavensgate_16_720.png)
 
 - ntdll.dllのexport table上の関数名リストから１つずつ関数名字列をとりだして目的の(Process Hollowingに利用すると思われる)関数名と一致するものを探し，さらにそのアドレスを取得する？(ここは詳細に確認していない。このあたりは[こちら](https://www.cyberbit.com/blog/endpoint-security/latest-trickbot-variant-has-new-tricks-up-its-sleeve/)でも詳しく書かれている気がする)