tmxklab
[Volatility] API 후킹 탐지 본문
인젝션한 후 악성코드는 타겟 프로세스의 API호출을 후킹해 실행 경로를 제어하여 악성코드로 재설정할 수 있다.
프로세스와 커널 메모리에서 API 후킹을 식별하고자 apihooks 플러그인을 사용한다.
vol_2.6.exe -f <메모리 이미지 파일> --profile=<프로파일 명> apihooks -p <PID>Hook mode(kernel, user mode) / Hook Type(후킹 유형 : IAT, Inline, 등등...)확인할 수 있음
순서)
1) malfind 플러그인을 사용하여 인젝션된 코드를 탐지한다.
2) apihooks 플러그인을 사용하여 JMP가 인젝션된 실행 파일 내의 주소로 리다이렉션하는지 확인한다.
'Security > Volatility' 카테고리의 다른 글
| [Volatility] 디바이스 및 드라이버 조사 (0) | 2021.04.28 |
|---|---|
| [Volatility] 커널 모드 루트킷 탐지 (0) | 2021.04.28 |
| [Volatility] Process Hollowing 탐지 (0) | 2021.04.28 |
| [Volatility] Code Injection 탐지 (0) | 2021.04.28 |
| [Volatility] 명령어 히스토리 조사 (0) | 2021.04.28 |
'Security/Volatility' Related Articles
more
Comments