EPROCESS를 이용한 프로세스 ID 변경

EPROCESS에 대한 구조 이해를 위해 프로세스 정보를 일부 변경해 보도록 하겠다. 변경을 위해 커널 디버깅을 중지(Windbg에서 g키 입력) 하고 가상 머신에서 작업 관리자(Alt+Ctrl+Del 키-> 작업 관리자 선택)를 실행하고 보기 메뉴에서 을 선택해 PID를 추가하여 Cmd.exe의 PID를 확인하도록 하자.


작업 관리자에서 PID를 확인할 수 있도록 변경하자

이후 앞서 확인한 !prcoess 명령을 이용하여 Cmd.exe를 찾아서 해당 프로그램의 PID를 53으로 변경해 보자.

[codesyntax lang=”asm”]

[/codesyntax]

PID 변경 및 프로세스 컨텐츠 확인

g키를 눌려 가상 머신을 실행 상태로 만들어서 실제 변경되었는지 확인해 보면 PID가 변경되었음을 알 수 있다. 단 PID가 변경되면서 프로세스 관리 정보를 연결 할 수 없어, 프로세스 정보는 표시되지 않지만 프로그램은 정상적으로 동작한다. 일부 보안 프로그램의 경우 이와 같은 방법을 이용해 프로그램을 해킹으로부터 보호하기도 한다.


PID 변경시 프로세스 정보 확인이 불가능 하다

Facebook Comments

Leave A Reply

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.