能力值:
( LV4,RANK:40 )
|
-
-
[原创]从内存取证角度检测shellcode
欧阳休
保存原来的页面属性、原来的内容,完了之后恢复原来属性、内容,申请的内存一free,无影无踪,这种检测方式意义不大。
你说的方法确实是一种反取证方式,清除掉了shellcode,但是你做的这一系列清除痕迹的操作还是会留下记录,还会有反反取证的方式去检测这种操作,就像是法医学中的罗卡定律,任何犯罪必然会留下痕迹。取证与反取证就是在相互颠覆、此消彼长的过程,学习这个过程本身我觉得就是有意义的
|
能力值:
( LV4,RANK:40 )
|
-
-
|
章鱼C
现在能力有限
