Self-Creation이란?프로세스가 자기 자신을 자식 프로세스로 실행시키는 것부모로 실행될 때랑 자식으로 실행될 때의 동작이 다르면 의미가 있음(하나의 실행 파일에 두 가지실행 경로가 존재하도록 꾸미는 것) 동작원리간단하게는 부모 프로세스가 자식 프로세스를 서스펜드 모드로 생성하고 실행 주소를 조작해서 원하는 코드 실행을 유도하는 방식1. 자식 프로세스 생성(suspend 모드)- 자식 프로세스는 suspend 상태로 생성되며 import DLL들은 로딩되지만 메일 스레드는 멈춰서 EP코드가 실행이 안됨2. EIP 변경- 부모 프로세스는 디버깅 API를 활용해 자식 프로세스의 메인 스레트 context를 가져와 컨텍스트의 EIP를 원하는 코드 주소로 변경한다.3. 메인 스레드 재개(resume Ma..
