| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | ||||
| 4 | 5 | 6 | 7 | 8 | 9 | 10 |
| 11 | 12 | 13 | 14 | 15 | 16 | 17 |
| 18 | 19 | 20 | 21 | 22 | 23 | 24 |
| 25 | 26 | 27 | 28 | 29 | 30 | 31 |
Tags
- 리버싱
- 정보기
- 디지털 포렌식 전문가 2급
- 디포전 2급
- CodeEngn
- 필기
- 정보보안기사
- 논문리뷰
- 뮤텍스
- BoB 12기 최종합격 후기
- 디포전
- DLL 사이드로딩
- dll side-loading
- cve-2022-26923
- 세마포어
- h4ckinggame
- BoB 12기
- race condition
- cve-2024-6387
- 디지털 포렌식 트랙
- Best of the Best
- 프로그래머스
- malware
- Active Directory
- bob
- 코드엔진
Archives
- Today
- Total
SEO
LockBit 2.0으로 알아보는 Anti-Debugging 기술 - NtGlobalFlag 본문
Security/Reversing & Malware
LockBit 2.0으로 알아보는 Anti-Debugging 기술 - NtGlobalFlag
Crain 2024. 4. 1. 23:49반응형
PEB 구조체 내의 NtGlobalFlag 위치
- 32비트 : 0x68 offset
- 64비트 : 0xBC offset
NtGlobalFlag 값
- Default 값 : 0
- 디버거에 의해 프로세스가 생성된 경우
- FLG_HEAP_ENABLE_TAIL_CHECK (0x10)
- FLG_HEAP_ENABLE_FREE_CHECK (0x20)
- FLG_HEAP_VALIDATE_PARAMETERS (0x40)
LockBit 2.0에서의 NtGlobalFlag 사용법
NtGlobalFlag 값과 0x70 값을 and 연산하여 현재 프로세스가 디버깅 중인지 확인
=> 디버깅 중이라면 무한루프 생성
DLL을 동적으로 로드하기 이전에 안티 디버깅 기술로 분석 방해
반응형
'Security > Reversing & Malware' 카테고리의 다른 글
| WASM 리버싱 방법 (5) | 2024.11.20 |
|---|---|
| Control ID로 MFC 호출 함수를 찾아보자 (MFC 리버싱) (0) | 2024.04.11 |
| LockBit 2.0으로 알아보는 COM 객체를 이용한 UAC Bypass 기법 (0) | 2024.03.18 |
| [은닉 기법] 자가 삭제/코드 조각화/프로세스 할로윙 (1) | 2024.03.13 |
| [AV 탐지 우회 기법] Polymorphic 및 Metamorphic 기법 (다형성 및 변형 악성코드) (0) | 2024.03.10 |
'Security/Reversing & Malware' Related Articles
more
