어떤 dll을 리버싱하려고 하는데 안티 디버깅을 미친듯이 해놔서
리버싱 툴로는 덤프도 뜰 수가 없습니다.
그래서 직접 프로세스에 로드된 dll을 메모리 덤프 떴는데...
환장하겠는게, 뭘루 해봐두 그놈이 dll Module List에서 자신을 숨깁니다.
NtQueryInformationProcess 로 PEB를 뒤져봐도 없습니다.
아무튼 메모리 덤프를 뜨는 것은 어찌어찌 했는데...
1. Kernel을 건드리지 않고 dll 만으로 PEB에서 자신을 숨기는 것이 어떻게 가능 한가요?
Api를 후킹하는 것이라고 추측은 하지만.. 가능한 방법이 있나요?
2. ProcessExplorer에서 보면 그 dll이 보이는데 얘는 대체 어떻게 한걸까요?
이게 제일 궁금합니다. SysInternal에서 늘상 그러듯 어떤 Undocumented 함수를 사용하는 것 같은데...
아무 추측이라도 상관없습니다.
답답해서 이렇게라도 끄적거려봅니다.
본인삭제금지
글쓰기