<div>어떤 dll을 리버싱하려고 하는데 안티 디버깅을 미친듯이 해놔서</div> <div>리버싱 툴로는 덤프도 뜰 수가 없습니다.</div>그래서 직접 프로세스에 로드된 dll을 메모리 덤프 떴는데... <div><br><div>환장하겠는게, 뭘루 해봐두 그놈이 dll Module List에서 자신을 숨깁니다.</div> <div>NtQueryInformationProcess 로 PEB를 뒤져봐도 없습니다.</div> <div>아무튼 메모리 덤프를 뜨는 것은 어찌어찌 했는데...</div> <div>오기가 생겨서 그냥 넘어갈 수가 없네요.<br><div><br></div></div></div> <div>1. Kernel을 건드리지 않고 dll 만으로 PEB에서 자신을 숨기는 것이 어떻게 가능 한가요?</div> <div>Api를 후킹하는 것이라고 추측은 하지만.. 가능한 방법이 있나요?</div> <div><br></div> <div>2. ProcessExplorer에서 보면 그 dll이 보이는데 얘는 대체 어떻게 한걸까요?</div> <div>이게 제일 궁금합니다. SysInternal에서 늘상 그러듯 어떤 Undocumented 함수를 사용하는 것 같은데...</div> <div><br></div> <div>아무 추측이라도 상관없습니다.</div> <div>답답해서 이렇게라도 끄적거려봅니다.</div>
댓글 분란 또는 분쟁 때문에 전체 댓글이 블라인드 처리되었습니다.