Для этого запустим плагин
volshell и после передадим параметры процесса, который мы хотим изучить, физический адрес процесса мы знаем. Для передачи адреса в change current shell context метод
cc(), нужно по дефолту использовать виртуальный адрес памяти, решим это, указав
physical=True, итого:
cc(offset=0x000000007d336950, physical=True)Теперь мы сможем более детально проанализировать структуру процесса, к примеру посмотреть описание структуры _EPROCESS, которая упоминалась в начале
статьи и узнать её содержимое для конкретного процесса, выполнив describe an object or show type info – d
t(“_EPROCESS”, 0xfffffa8004536950), аналогичный результат мы с вами сможем получить вызвав метод
proc().
Чтобы построить цепочку ссылок, о которой мы говорили ранее
(на рисунке 5), давайте вытащим адрес структуры ActiveProcessLinks, для скрытого процесса, выполнив proc().ActiveProcessLinks: