elastic에서 process ghosting에 대해 소개하며 명시된 file_object 값을 보는 방법이 아닌
내가 생각한 재밌는 방법을 이용하여 탐지를 해보았다. 이 방법을 쓴 논문이나 블로그 글은 아직 발견하지 못했다.
일단 코드를 짜서 증명에 성공했으며 이제 우회 방법이 있는지 찾아봐야한다.
이번 프로젝트가 끝나면 자세한 내용을 올려야겠다.
프로세스 고스팅을 통해 pid가 8824로 켜진 악성 프로그램(mimikatz)를 탐지
'보안' 카테고리의 다른 글
| Unlockexe (0) | 2023.11.07 |
|---|---|
| 웹 모바일 취약점 점검 교육 후기? -1 (0) | 2023.03.02 |
| mac os 에서 burp suite 설치 및 실행 (0) | 2023.02.13 |
| 웹해킹) 파일관련 취약점 (0) | 2023.02.11 |
| ISMS-P -1.1.1 (0) | 2023.01.31 |
