tmxklab

1. dlllist 플러그인 로드된 DLL을 나열, DKOM 공격에 취약 dlllist플러그인은 PEB구조체를 찾아서 로드한 모듈 정보를 얻는다. _EPROCESS구조체에 PEB포인터를 포함하는 peb라는 필드를 가지고 있음 따라서, _EPROCESS구조체를 찾으면 PEB를 찾을 수 있음 vol_2.6.exe -f --profile= dlllist -p옵션을 사용하여 pid값을 줘서 해당 프로세스에 로드된 모듈들을 확인할 수 있음 이제 커널 디버깅을 통해서 dlllist 플러그인이 어떻게 dll목록을 가져오는지 확인해보자 먼저 현재 실행 중인 "explorer.exe"프로세스를 대상으로 확인해보자 explorer.exe의 _EPROCESS구조체 주소는 0xffffe2897d03d080이며 peb값은 0x..

1. pslit 플러그인 프로세스 리스트 출력(리스트워킹-가상주소) Double Linked List 탐색에 의존 DKOM 탐지 못함 vol_2.6.exe -f --profile= pslist [ pslist 도움말 확인 ] vol_2.6.exe -f "IE11 - Win7 (2)-462275e1.vmem" --profile=Win7SP0x86 pslist -h [ 출력 결과 리다이렉션 ] vol_2.6.exe -f "IE11 - Win7 (2)-462275e1.vmem" --profile=Win7SP0x86 pslist --output-file=result.txt 프로세스들은 Double Linked List구조로 되어있음, 다음 링크를 통해 참고하자 윈도우 프로세스(프로세스 관련) 윈도우 OS는 객체..