일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | |||||
3 | 4 | 5 | 6 | 7 | 8 | 9 |
10 | 11 | 12 | 13 | 14 | 15 | 16 |
17 | 18 | 19 | 20 | 21 | 22 | 23 |
24 | 25 | 26 | 27 | 28 | 29 | 30 |
31 |
- 자살론
- 코드엔진
- BoB 12기
- 에밀 뒤르켐
- CodeEngn Basic 5
- Best of the Best
- 코드엔진 베이직
- 사회분업론
- bob
- codeengn basic rce 01
- 사회적 사실
- 철학
- malware
- h4ckinggame
- 코드엔진 basic 5
- 디지털 포렌식 트랙
- CodeEngn Basic 01
- CodeEngn
- BoB 12기 최종합격 후기
- 리버싱
- 논문리뷰
- Today
- Total
목록2024/03 (10)
woonadz :)
![](http://i1.daumcdn.net/thumb/C150x150/?fname=https://blog.kakaocdn.net/dn/b11den/btsFAjFRaEH/dQZk1FhBJ3KyLtikGUKDVK/img.png)
해당 포스팅은 악성코드 분석 시작하기 책을 바탕으로 작성하였습니다. Winlogon 레지스트리 항목 공격자는 Winlogon 프로세스에서 사용하는 레지스트리 항목을 수정해 지속성을 유지할 수 있습니다. Winlogon은 사용자 계정의 logon과 logoff를 처리하는 역할을 합니다. Winlogon 프로세스는 다음과 같이 동작합니다. 유저가 인증되면 Winlogon.exe 프로세스가 시작됩니다. Winlogon.exe는 userinit.exe를 실행합니다. 다음으로 logon 스크립트를 실행하고 네트워크 연결을 재설정합니다. 마지막으로 userinit.exe 기본 유저 셀인 explorer.exe를 실행합니다. Winlogon Userinit winlogon.exe는 사진과 같은 레지스트리 값으로 인해..
![](http://i1.daumcdn.net/thumb/C150x150/?fname=https://blog.kakaocdn.net/dn/bwK0n1/btsFBdRSLId/XYkKiekkCKzzm0ak3yMMaK/img.png)
DLL Side-Loaing이란? DLL Search Order Hijacking과 비슷하게 동작하지만 목적과 방법에 약간의 차이를 두고 있는 DLL Hijacking 기법입니다. 더보기 DLL Injection과 DLL Hijacking의 차이 Injection은 다른 프로세스 메모리에 외부 DLL 코드를 강제로 주입하여 악성코드를 실행시키는 것에 중점을 두고 있고, Hijacking은 프로세스가 실행될 때 검색하는 DLL 자체를 악성 DLL로 대체하여 실행시키는 것에 중점을 두고 있습니다. 가장 큰 차이점이라고 한다면 강제성 여부라고 생각합니다. 예를 들어, Hijacking은 a.dll 이라는 정상 dll을 로드해야하지만 a.dll의 이름으로 위장한 악성 dll을 정상인 dll(a.dll)로 생각하..