[Volatility] API 후킹 탐지

인젝션한 후 악성코드는 타겟 프로세스의 API호출을 후킹해 실행 경로를 제어하여 악성코드로 재설정할 수 있다. 

 

프로세스와 커널 메모리에서 API 후킹을 식별하고자 apihooks 플러그인을 사용한다. 

vol_2.6.exe -f <메모리 이미지 파일> --profile=<프로파일 명> apihooks -p <PID>

Hook mode(kernel, user mode) / Hook Type(후킹 유형 : IAT, Inline, 등등...)확인할 수 있음

 

순서)

1) malfind 플러그인을 사용하여 인젝션된 코드를 탐지한다.

2) apihooks 플러그인을 사용하여 JMP가 인젝션된 실행 파일 내의 주소로 리다이렉션하는지 확인한다.