모해요

PEB란?프로세스의 정보를 담고 있는 구조체방대한 크기문서화 된 내용 PEB 접근 방법앞에 TEB설명가지고 생각해보면 FS:[30] = TEB.ProcessEnvironmentBlock = address of PEB 이런 공식을 구할 수 있다. 이 공식을 어셈블리 코드로 만들어보면방법1. 바로 PEB 주소 구하는 방법MOV EAX, DWORD PTR FS:[30]            ; FS[30] = address of PEB 방법2. TEB 주소 구하고 ProcessEnvironmentBlock멤버를 이용하는 방법MOV EAX, DWORD PTR FS:[18]             ; FS[18] = address of TEB MOV EAX, DWORD PTR DS:[EAX+30]           ..

TEB란?프로세스에서 실행되는 스레드에 대한 정보를 담고 있는 구조체스레드 별로 TEB 구조체가 하나씩 할당됨.TEB 구조체는 OS 종류별로 모양이 달라짐 TEB 구조체 정의typedef struct _TEB { BYTE Reserved1[1952]; PVOID Reserved2[412]; PVOID TlsSlots[64]; BYTE Reserved3[8]; PVOID Reserved4[26]; PVOID ReservedForOle; PVOID Reserved5[4]; PVOID TlsExpansionSlots;} TEB, *PTEB;MSDN의 TEB 구조체 설명이다.구조체 내용을 자세히 보기 위해 WinDbg사용(커널 디버거 사용) WinDbg로 비교해보면 W..

TLS 콜백 함수란?EP 코드보다 먼저 실행됨 EP코드보다 먼저 실행된다는 특징때문에 안티 디버깅에 사용할 수 있다. 실습..https://github.com/reversecore/book/tree/master/%EC%8B%A4%EC%8A%B5%EC%98%88%EC%A0%9C/06_%EA%B3%A0%EA%B8%89_%EB%A6%AC%EB%B2%84%EC%8B%B1/45_TLS_Callback_Function/bin book/실습예제/06_고급_리버싱/45_TLS_Callback_Function/bin at master · reversecore/book리버싱 핵심원리 - 소스 코드 및 실습 예제. Contribute to reversecore/book development by creating an acc..