Notice
Recent Posts
Recent Comments
Link
«   2025/04   »
1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30
Tags more
Archives
Today
Total
관리 메뉴

수호의 메모장

NtQuerySystemInformation API Hooking을 통한 Usermode Process Hiding 본문

Security/Reverse Engineering

NtQuerySystemInformation API Hooking을 통한 Usermode Process Hiding

수호-_- 2022. 10. 11. 01:51

유저모드에서 프로세스를 검색하기 위해서는 EnumProcess나 CreateToolhelp32Snapshot를 사용하게 된다.

위 두 함수 모두 내부적으로는 NtQuerySystemInformation를 호출하게 된다.

 

따라서 NtQuerySystemInformation를 API Hooking하여 유저모드에서  프로세스를 숨길 수 있게 된다.

 

https://github.com/dslee2022/HideProcess-UM

 

실제 구현 코드는 필자의 깃헙에 업로드 하였다.

 

시연 영상:

 

https://youtu.be/XbuQplBr9rY

 

'Security > Reverse Engineering' 카테고리의 다른 글

[dreamhack, rev] Permpkin writeup  (2) 2023.11.20
Easy_ELF [KUCC 정뾰 과제]  (0) 2023.10.10
code2 [KUCC 정뾰 세션 과제]  (0) 2023.10.10
Let's break 010Editor's License Authentication!  (0) 2023.09.20
'Security/Reverse Engineering' Related Articles more