CreateMutex
까보면 다나와~

User-mode Inline Patch를 위한 함수 주소 찾는 방법
2012. 8. 20. 14:12,  유용한 지식 자료들/악성코드 기법

*NGRBOT에서 사용하는 방법

 

다음은 패치하는 코드.(Native 함수 LdrEnumerateLoadedModules를 통해 모든 모듈에 CallBack함수를 실행, CallBack 함수 및 _Inline_Patch_Routine에서 Inline Patch 행위를 한다.)

 

주소 찾는 방식.(메모리상 Header, Export Table 정보를 이용한다.)

 

저작자표시 비영리 변경금지

'유용한 지식 자료들 > 악성코드 기법' 카테고리의 다른 글

64비트인지 아닌지 확인하기x2  (0) 2012.11.05
hosts파일 변조 악성코드의 배짱(?)  (0) 2012.08.22
ntdll.bsearch  (2) 2012.08.01
Security Service Disable  (0) 2012.06.25
keylogging 기법  (0) 2011.05.24
  Comments,     Trackbacks
카테고리
최근 작성 글
최근 작성 댓글
최근 작성 트랙백
공지사항
링크
글 보관함
캘린더
«   2024/11   »
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
태그
MS WBT SERVERahnurl.sysxrefida.cfgbreadkpointdispatchRemote Desktop Packetwintmp.datRDTNtMapViewOfSectionMUICacheCVE-2010-3962setupball.bmp77ddosvsphereiocontrolcodeida cfgSYSTEM_INFORMATION_CLASSinvalid flag referencekoobfaceWinDbg예치금33ddosSystemInformationClassprintSepswinurl.datversion.datIDAhtml color북위례
TODAY TOTAL
아리스리's Blog : Powered by and Designed by Lawlite

티스토리툴바