Process Hollowing

남혜리·2022년 8월 13일
0

해킹기법

목록 보기
7/7

대상 프로세스의 이미지를 언매핑하고 자신의 이미지를 매핑하는 기술

aka. PE 이미지 스위칭(PE Image Switching)

정상적인 프로세스를 생성하고 해당 프로세스에 악성PE 데이터를 삽입하여 실행.
SUSPEND 모드로 정상적인 프로세스를 생성

해결법

(작업 관리자나 프로세스 익스플로어 툴로 위와 같이 확인해도 정상적인 프로세스로 보임)

  • 메모리를 덤프 하여 비교하거나 디버거로 분석

참고자료

exploit, https://whitecherryblossom.tistory.com/36?category=358811

profile
고장나지 않은

0개의 댓글