2017-04-16 DoubleAgent を試してみる リバースエンジニアリング Ⅰ. はじめに DoubleAgent とは? Microsoft Application Verifer を悪用したDLL注入の事です。 セキュリティ会社 Cybellum によって 2017/03/22 に公開されました。 何ができるの? プロセスの開始と同時に 任意の dll が読み込まれ任意コードの実行が可能になります。 dll は kernel32 よりも早い段階で読み込まれます。 以下の動画は notepad.exe が起動されると cmd.exe も起動するようにしたサンプルです。 youtu.be Ⅱ. プログラム https://github.com/Cybellum/DoubleAgent Ⅲ. 参考文献 http://blog.trendmicro.co.jp/archives/14646 https://cybellum.com/doubleagent-taking-full-control-antivirus/ https://pc.watch.impress.co.jp/docs/news/1050768.html https://cybellum.com/doubleagentzero-day-code-injection-and-persistence-technique/