process ghosting 탐지

elastic에서 process ghosting에 대해 소개하며 명시된 file_object 값을 보는 방법이 아닌
 
내가 생각한 재밌는 방법을 이용하여 탐지를 해보았다. 이 방법을 쓴 논문이나 블로그 글은 아직 발견하지 못했다.
 
일단 코드를 짜서 증명에 성공했으며 이제 우회 방법이 있는지 찾아봐야한다.
 
이번 프로젝트가 끝나면 자세한 내용을 올려야겠다.
 
 
 
프로세스 고스팅을 통해 pid가 8824로 켜진 악성 프로그램(mimikatz)를 탐지