Notice
Recent Posts
Recent Comments
Link
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | ||||||
| 2 | 3 | 4 | 5 | 6 | 7 | 8 |
| 9 | 10 | 11 | 12 | 13 | 14 | 15 |
| 16 | 17 | 18 | 19 | 20 | 21 | 22 |
| 23 | 24 | 25 | 26 | 27 | 28 |
Tags
- 포렌식 #안티포렌식 #레지스트리 #거부권한 #깃허브 #Forensics #forensic #anti-forensic #anti-forenscis #컴퓨터 #사이버수사 #수사관 #KDFS
- 디지털포렌식
- 악성코드분석
- REGA
- 사이버수사과
- Reversing
- 이디스커버리
- Music_Player
- x64dbg
- 서호전
- reversing.kr
- Opentext
- 악성코드
- 레가
- U's room
- encase
- 서울호서직업전문학교
- e-discovery
- 포렌식
- 역연산
- 리버싱엔지니어링
- KDFS2022 #KDFS2023 #학생트랙 #멤버모집 #포공학 #포렌식 #디지털포렌식 #범인을찾아라 #DFC #포렌식대회 #보고서 #학생트랙보고서
- 고려대학원
- 레지스트리포렌식
- forensic
- 엔케이스
- 사이버수사
- 리버싱
- http://reversing.kr/
- 악성코드 분석
Archives
- Today
- Total
DDDDigtal 4ensics
PE run in memory에 대하여 본문
메모리 실행이라고 아는가? 말 그대로 파일을 디스크에 다운로드하지 않고,
바이너리를 메모리에 저장하여 실행하는 기법이다.
이미지로 표현한다면 위와 같이 표현할 수 있다. 그럼 해당 실행파일은 메모리에 있는데 덤프로 찾을 수 있을까 ?
찾을 수 있다.
Protex.exe가 Form1이다. 가상실행하기를 누르면 밑에 SelectProcess의 바이너리가 메모리에 저장되면서 하위 프로세스에서 프로그램이 실행된다. 해당 프로세스를 메모리 덤프하여 찾을 수 있었다.
'Forensics' 카테고리의 다른 글
| MITRE ATT&CK Matrix란? (0) | 2024.04.02 |
|---|---|
| 서든어택 불법 프로그램 [ adams]에 대한 디지털 포렌식 접근 (0) | 2024.03.19 |
| [ Registry 포렌식 ] 주요 레지스트리 키 정리 (0) | 2024.03.17 |
| 내가 보려고 만든 [ E-discovery ] 정리 (0) | 2023.07.10 |
| [Forensics Tool 리뷰 ] MagnetRESPONSE 툴 리뷰 (0) | 2023.07.04 |
'Forensics' Related Articles
more
