2020-02-01から1ヶ月間の記事一覧
メモリパッチによるAPIフックコードの実装をやってみる 今回は後学のために,FridaやMicrosoft Detoursなどの便利なライブラリやフレームワークに頼らないAPIフックコードの実装をやってみる. フック処理を行うプログラムをDLLとして作成し,これをターゲッ…
Windowsにカーネルドライバを読み込ませてみる カーネルドライバを作成し,Windowsシステムにロードさせてみる. まず以下を参考にドライバ開発環境を用意する. 初めてのドライバーの作成 - Windows drivers | Microsoft Docs 環境 VirtualBox上にWindowsホ…
Transactional NTFS利用による Process Doppelgangingをやってみる マルウェアなどがAVスキャナーからの検知を逃れるために使う手法の1分野にProcess Injctionがある. 本記事では以下のリポジトリを参考に,Process Injction手法の1つであるTransactional…
WinDbgでVirtualBox上のWindowsホストをカーネルモードデバッグする 環境 ホストのバージョンは以下。 PS C:\Users\ry0kvn> systeminfo OS 名: Microsoft Windows 10 Home OS バージョン: 10.0.18363 N/A ビルド 18363 WinDbg Previewのバージョンは以下。 D…
メモリパッチによるmsv1_0!SpAcceptCredentialsのフックをやってみる Windowsは対話型のユーザー名/パスワードベースのログオン用に2つの認証パッケージ、すなわちMSV1_0とKerberosを使用する。 後者はよく知られているように、ドメインのログオン用に利用さ…