[Anti Revering] PEB NtGlobalFlags 값 변경 타이티밍.

Reversing 2012. 4. 16. 11:10

요즘 몇가지 안티리버싱을 해보고있는데, 그중한가지.

PEB구조에서 NtGlobalFlags 값이 70h이면 디버깅이라고 판단한다.

찾는 방법은 인터넷에 많이 있는데,

검출추틴을 만들었는데, 의문점은 일단 아무프로세스하나 실행시키고 WinDBG에서 attach a process 로 붙이면 NtGlobalFlags로 걸리지가 않는다는점.

아무프로그램을 WinDBG에서 open executable ... 이걸로 실행해서 열면 검출이되고....

이거뭐야! 내가 잘못짠거야? ㅠ

언제 값이 변경되는지 알아봐야겠다.

저작자표시 비영리

'Reversing' 카테고리의 다른 글

[ANTI-Reversing] ANTI_DLL Injection (0)	2012.04.24
[ANTI Reversing] BegingDebuged 설명 (0)	2012.04.24
PEB구조체 시작 주소 MS Windows 버전별 (0)	2012.04.24
PEB 구조체 (0)	2012.04.24
TEB 구조체 (0)	2012.04.24

AND

by dp.

ARTICLE CATEGORY

분류 전체보기 (262)

main (0)

asm (4)

OS (91)

네트워크 (22)

프로그래밍 (50)

클라우드 컴퓨팅 (7)

DB (1)

웹서버구축 (5)

보안 (36)

논문 (7)

MCES (2)

hacking (1)

Forensic & 침해사고대응 (10)

WINDDK (2)

Reversing (9)

프로젝트 (0)

금융보안 (9)

보안공학 (4)

ARCHIVE & SEARCH

CALENDAR

RECENT TRACKBACK

MY LINK

COUNTER

TODAY | YESTERDAY

Tistory 회원가입!

일	월	화	수	목	금	토
						1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28