분류 전체보기 썸네일형 리스트형 ZwLoadDriver 함수 개념 간혹 분석 하다가 ZwLoadDriver를 호출하는 Malware가 보여서 로그를 남긴다. Driver 파일을 로드하기 위해 필요로 하는 함수 중 ZwLoadDriver 함수는 드라이버로 등록된 서비스에 대하여 로드를 수행할 수 있다. ## 우선적으로 설명하지만 현재 외부 네트워크가 연결되지 않은 환경에서 블로깅을 진행하고 있기 때문에 ## 더욱 자세한 정보나 공개되어 있는 정보들에 대한 부가 설명은 제외 되었다. ZwLoadDriver( LSA_UNICODE_STRING buf ); Microsoft 사의 MSDN에서 해당 함수를 검색해보면 위와 같은 함수 형에 대한 설명을 찾을 수 없었다. 위 함수를 이해하기 위해 구글링*을 하던 중 어느 중국의 한 블로거의 소스코드를 보게 되었다. 물론 위와 같이 .. 더보기 IMG 더보기 Info PEB, EPROCESS, KPROCESS, TEB, ETHREAD, KTHREAD ||| [Ctrl + C] -> [Ctrl + F] [Ctrl + V] -> Enter Key ||| PEB ||| EPROCESS ||| KPROCESS ||| TEB ||| ETHREAD ||| KTHREAD kd> dt _PEB nt!_PEB +0x000 InheritedAddressSpace : UChar +0x001 ReadImageFileExecOptions : UChar +0x002 BeingDebugged : UChar +0x003 SpareBool : UChar +0x004 Mutant : Ptr32 Void +0x008 ImageBaseAddress : Ptr32 Void +0x00c Ldr : Ptr32 _PEB_LDR_DATA +0x010 ProcessParameters : Ptr3.. 더보기 이전 1 ··· 7 8 9 10 11 12 13 ··· 37 다음
