5150 подписчиков
Скрываясь на виду у всех. №2
Это вторая часть статьи о проксировании загрузки DLL для скрытия подозрительных следов стека, ведущих к выделенной пользователем области RX. Я не буду углубляться в то, как работает стек, потому что я уже рассказал об этом в предыдущей статье. Ранее мы видели, что мы можем манипулировать инструкциями call и jmp для запроса callback windows в вызове API LoadLibrary. Однако обнаружение трассировки стека выходит далеко за рамки простого отслеживания загрузки DLL.
#asm #reverse #edr
Около минуты
7 июля 2023