13. a) 親プロセスの不一致で検知 (2) 13
pstreeプラグインでのプロセス一覧の表示結果
lsassの正しい親プロセスはwinlogon(pid624)
pid1928, 868のlsassは不審である
14. • 実は実行イメージのコピーだけでは不十分
b) Kernel Landの情報との不一致で検知 (1) 14
c
B
Aの
モジュール情報
Bの
モジュール情報
A
User Land
Kernel Land
Kernel Landの情報はプロセスからはアクセス困難
Kernel Landと読み込みんでいる
モジュール情報について不整合が発生する
Aの
モジュール情報
モジュール: DLL, 実行ファイル
15. b) Kernel Landの情報との不一致で検知 (2) 15
• 実は実行イメージのコピーだけでは不十分
c
B
Aの
モジュール情報
Bの
モジュール情報
A
User Land
Kernel Land
Kernel Landの情報はプロセスからはアクセス困難
Kernel Landと読み込みんでいる
モジュール情報について不整合が発生する
Aの
モジュール情報
モジュール: DLL, 実行ファイル
PEBと呼ばれるDLLの情報
(PEB: Process Environment Block)
正確にはVADと呼ばれる
プロセスの確保した仮想メモリの管理情報
スタック・ヒープの割当て情報もここで管理される
(VAD: Virtual Address Descriptor)
Aの
モジュール情報
Aの
モジュール情報
Bの
モジュール情報
16. b) Kernel Landの情報との不一致で検知 (3) 16
pid868に対するldrmodulesプラグインの表示結果
MappedPathの情報が空になっており不審
「くり抜いた」時に開放した痕跡と考えられる
*ldrmodulesはVADを元にモジュールを列挙する*