CreateMutex
까보면 다나와~

User-mode Inline Patch를 위한 함수 주소 찾는 방법

*NGRBOT에서 사용하는 방법

 

다음은 패치하는 코드.(Native 함수 LdrEnumerateLoadedModules를 통해 모든 모듈에 CallBack함수를 실행, CallBack 함수 및 _Inline_Patch_Routine에서 Inline Patch 행위를 한다.)

 

주소 찾는 방식.(메모리상 Header, Export Table 정보를 이용한다.)

 

'유용한 지식 자료들 > 악성코드 기법' 카테고리의 다른 글

64비트인지 아닌지 확인하기x2  (0) 2012.11.05
hosts파일 변조 악성코드의 배짱(?)  (0) 2012.08.22
ntdll.bsearch  (2) 2012.08.01
Security Service Disable  (0) 2012.06.25
keylogging 기법  (0) 2011.05.24
  Comments,     Trackbacks