メモリからDLLを読み込んでみる DLL(dynamic link library)は通常、Windows APIのLoadlibraryやLoadlibraryEXを使ってディスク上から読み込んで使用する。 このLoadLibraryやLoadLibraryExは、ファイルシステム上のファイルでのみ機能し直接メモリからDLLを…

VirtualQueryExによるRWX保護メモリの列挙をやってみる マルウェアが使う基本的なcode injection手法の一部には、最初にVritualAllocを使ってターゲットプロセス内に実行可能なメモリ領域を割り当て、その領域にコードを書き込むことで攻撃者が望む処理を実…

PEファイルフォーマットのAddressOfEntryPoint利用によるCode Injectionをやってみる PEファイルフォーマットのAddressOfEntryPoint利用によるCode Injectionをやってみる。 PEファイルフォーマットのAddressOfEntryPointは実行可能ファイルの実行開始位置の…

QueueUserAPCによるEarly Bird Injectionをやってみる QueueUserAPCによるEarly Bird Injectionをやってみる。 APCを使ったcode injection手法はEarly Bird Injectionと呼ばれることがある。これはターゲットプロセスのプロセス作成ルーチンの早い段階、すな…

NtCreateSectionとNtMapViewOfSectionによるProcess Injectionをやってみる Process Injectionとは マルウェアなどが使用する、正当なプロセスに悪意あるコードを注入する手法は一般にProcess Injectionと呼ばれる。 プロセスにコードを注入する方法は数多あ…