728x90
반응형
악성 코드는 디버거가 실행 중인지 확인하기 위해 반복적으로 실행 중인 프로세스를 검사하기도 한다.
예를 들면 Immunity 디버거를 사용한다면 Immunitydebugger.exe 가 실행될 것이다.
악성코드는 실행 중인 프로세스의 리스트를 반복적으로 구하기 위해
Process32First 함수와 Process32Next 함수를 이용한다.
두 함수 모두 실행 결과를 불린값으로 반환한다.
EAX 레지스터의 값을 0으로 만들고 곧바로 리턴하게 함수를 패치하면 악성코드는 실행 중인 프로세스 리스트를 구할 수 없다고 한다. 머리가 참 좋다.
immunity 디버거에 내장된 어셈블러를 이용해면 함수 패치를 쉽게 수행할 수 있다.
728x90
반응형
'파이썬 스터디 과제 > 파이썬 해킹 프로그래밍' 카테고리의 다른 글
| 6장-후킹-1(PyDbg를 이용한 소프트 후킹) (0) | 2015.01.26 |
|---|---|
| 6장-후킹 (0) | 2015.01.26 |
| 5장-4 악성 코드의 안티 디버깅 루틴 무력화 (0) | 2015.01.26 |
| 5장-3 공격코드개발-3 윈도우의 DEP우회 (0) | 2015.01.26 |
| 5장-3 공격코드개발-2 문자필터링 (0) | 2015.01.26 |
댓글