なぜか手元でこの hxdef100.exe のプロセスの heap とか表示しようとしてもうまくいってないのですが、それは手順が悪いのか、win32dd で取得したからなのか・・・orz hxdef100.exe の持っているデータ内容を調べることで、どんなファイルを隠そうとしていた…

さて、メモリ上で hxdef100.exe という怪しいプロセスを発見したとして、このプロセスというかを取り出してみたいと思ったのですが、残念ながら WinDBG だと簡単ではないんでしょうかね？ ということで、Volatility framework には procdump（Dump a process…

1/12 の勉強会で WinDBG の使い方なども教えていただいたので忘れないうちにメモしておこう。 とりあえず、VMware 環境に Windows XP Sp2 を用意し、古典的な rootkit ということで Hacker Defender をインストールする。これで INI ファイルに定義されてい…