티스토리 뷰


[Reversing] API 동적 로딩 기법, PEB의 LDR 이용


Emotet paylaod 분석할 때 알게 된 ?.dll API 동적 로딩 기법을 이용한 부분





참고.


TEB

0x30 : PEB


PEB

0x0C : PEB_LDR_DATA


PEB_LDR_DATA

0x0C :  ( InLoadOrderModuleList )

0x14 :  ( InMemoryOrderModuleList )

0x1C : LDR_MODULE ( InInitializationOrderModuleList )


( InLoadOrderModuleList )

( 바이너리  ->  ntdll.dll  ->  kernel32.dll  ->  kernelbase.dll )

0x00 : Next Module

0x04 : Previous Module

0x18 : ImgBase

0x1C : EP

0x20 : Size of Img

0x30 : Name


( InMemoryOrderModuleList )

( 바이너리  ->  ntdll.dll  ->  kernel32.dll  ->  kernelbase.dll )

0x00 : Next Module

0x04 : Previous Module

0x10 : ImgBase

0x14 : EP

0x18 : Size of Img

0x20 : Path


LDR_MODULE ( InInitializationOrderModuleList )

( ntdll.dll  ->  kernelbase.dll  ->  kernel32.dll )

0x00 : Next Module

0x04 : Previous Module

0x08 : ImgBase

0x0C : EP

0x10 : Size of Img

0x20 : Name


참고

[https://5kyc1ad.tistory.com/328]

댓글
공지사항
«   2020/02   »
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
Total
138,729
Today
2