목록Security (9)
수호의 메모장
NtQuerySystemInformation API Hooking을 통한 Usermode Process Hiding
유저모드에서 프로세스를 검색하기 위해서는 EnumProcess나 CreateToolhelp32Snapshot를 사용하게 된다. 위 두 함수 모두 내부적으로는 NtQuerySystemInformation를 호출하게 된다. 따라서 NtQuerySystemInformation를 API Hooking하여 유저모드에서 프로세스를 숨길 수 있게 된다. https://github.com/dslee2022/HideProcess-UM 실제 구현 코드는 필자의 깃헙에 업로드 하였다. 시연 영상: https://youtu.be/XbuQplBr9rY
Security/Reverse Engineering
2022. 10. 11. 01:51