nganhkhoa/mether049-malware
1
0
Fork 0
mirror of https://github.com/nganhkhoa/malware.git synced 2024-06-10 21:32:07 +07:00
Code Issues Projects Releases Wiki Activity

Update analysis_processhollowing.md

Browse Source
This commit is contained in:
mether049 2020-02-03 23:30:29 +09:00 committed by GitHub
parent 67f1357ee0
commit 7842648bdf
No known key found for this signature in database
GPG Key ID: 4AEE18F83AFDEB23
1 changed files with 2 additions and 2 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

4
Trickbot/analysis_processhollowing.md
View File

@ -87,8 +87,8 @@ Process Hollowingにも利用するデータに関する説明
![](https://github.com/mether049/malware/blob/master/Trickbot/img/heavensgate_11_720.png) ![](https://github.com/mether049/malware/blob/master/Trickbot/img/heavensgate_11_720.png)
- ここから64bitの命令群に遷移する(32bit向けのユーザモードデバッガでの追跡が困難になる。WinDbgなどのカーネルモードデバッガなら追跡可能) - ここから64bitの命令群に遷移する(32bit向けのユーザモードデバッガでの追跡が困難になる。WinDbgなら追跡可能)
- 遷移先は0x10001000であり先ほどPEファイルの.text以下をコピーした領域である64bitPEファイルを保存してそれに対してユーザモードデバッガでデバッグすることは可能) - 遷移先は0x10001000であり先ほどPEファイルの.text以下をコピーした領域である64bitPEファイルを保存してそれに対してデバッガでデバッグすることは可能
![](https://github.com/mether049/malware/blob/master/Trickbot/img/heavensgate_16_720.png) ![](https://github.com/mether049/malware/blob/master/Trickbot/img/heavensgate_16_720.png)
- ntdll.dllのexport table上の関数名リストからつずつ関数名字列をとりだして目的の(Process Hollowingに利用すると思われる)関数名と一致するものを探し,さらにそのアドレスを取得する?(ここは詳細に確認していない。このあたりは[こちら](https://www.cyberbit.com/blog/endpoint-security/latest-trickbot-variant-has-new-tricks-up-its-sleeve/)でも詳しく書かれている気がする) - ntdll.dllのexport table上の関数名リストからつずつ関数名字列をとりだして目的の(Process Hollowingに利用すると思われる)関数名と一致するものを探し,さらにそのアドレスを取得する?(ここは詳細に確認していない。このあたりは[こちら](https://www.cyberbit.com/blog/endpoint-security/latest-trickbot-variant-has-new-tricks-up-its-sleeve/)でも詳しく書かれている気がする)