모해요

Windows OS kernel 6에서 변경된 세션 관리 정책세션 관리 정책 변화Windows Kernel 6부터 세션 관리 정책이 변경그래서 서비스 프로그램에서 사용자 인터페이스(예: 다이얼로그 출력)나 사용자와의 메시지 통신이 XP처럼 정상적으로 동작하지 않게되었다개발 영향특히 사용자와 인터랙티브한 동작을 시도하는 서비스 프로그램이 영향XP에서 정상적으로 동작하던 서비스가 Vista나 7에서 문제를 일으킬 수 있게됨리버싱 관점의 중요성기존에 널리 사용되던 CreateRemoteThread() API를 통한 DLL 인젝션이 서비스 프로세스에서는 더 이상 작동하지 않는다..일반 프로세스에서는 여전히 동작하지만, 서비스 프로세스에는 제한이 생김 세션이란?간단하게 하면 로그온 사용자 환경을 의미한다.대부분 ..

ASLR이란?PE파일이 메모리에 로딩될 때 로딩 시작 주소 값을 랜덤하게 바꾸는 것이다. 학교 운영체제때 배운내용으로는.. 지역주소로 계속 똑같이 보이게되면 공격자에게 당하기 쉬워져 ASLR이 보안측면에 사용된다고 했었음책에도 비슷하게 exploit code작성을 어렵게 하기 위해 사용되었다고 함 모든 실행파일에서 적용되는 기술은 아니고 운영체제의 Kernel Version이 6이상이어야하고, 개발 도구에서 /DYNAMICBASE 옵션을 지원해야된다고 한다.비주얼스튜디오에서 확인한건데디버그 > 속성에서 위와같은 화면이 나오면 링커 > 고급에서 임의 기준 주소를 설정하면 된다.윈보운 과제할때는 편하게 하려고 꺼두고 했던..  아래에서 파일을 받아서 실습을 진행해보았다.https://github.com/re..

x64환경에서는 32비트랑 64비트 운영체제 모두 설치 가능하다. 사용 가능한 디버거는 아래와 같음OSPE32PE32+32bitOllyDbgIDA ProWinDbgIDA Pro(disassemble only)64bitOllyDbgIDA ProWinDbgIDA ProWinDbg 64비트 디버깅WOW64Test_x64.exe파일 디버깅 실습#include "stdio.h"#include "windows.h"#include "Shlobj.h"#include "tchar.h"#pragma comment(lib, "Shell32.lib")int _tmain(int argc, TCHAR* argv[]) { HKEY hKey = NULL; HANDLE hFile = INVALID_HANDLE_VALUE; ..

WinDbg가 몰까..MS에서 무료로 제공하는 디버거유저모드랑 커널 모드 다 커버하는데 주로 커널 디버깅할 때 쓴다.. https://learn.microsoft.com/en-us/windows-hardware/drivers/debugger/debugger-download-tools Debugging Tools for Windows - Windows driversThis page provides downloads for the Windows Debugging tools, such as WinDbg.learn.microsoft.com여기서 받으면됨 WinDbg은 CUI환경으로 동작한다 winDgb실행심볼: 디버깅 정보 파일 .pdb를 의미함함수 이름, 변수, 소스코드 라인 등 PE 파일의 디버깅 정보를 포..

64비트 Windows OS 에서 프로세스의 가상 메모리 크기는 16테라임유저영역이 8테라 커널이 8테라변경 된거 맞춰서 PE파일 포맷도 바뀌었다.. PE32+(PE+, PE64)PE32+은 64비트 네이티브 모드에서 실행되는 포멧이고 기존 32비트 파일의 확장된 형태임 IMAGE_NT_HEADERS// Define IMAGE_NT_HEADERS64 structure for PE32+typedef struct _IMAGE_NT_HEADERS64 { DWORD Signature; // Signature of the NT Header IMAGE_FILE_HEADER FileHeader; // File Header IMAGE_OPTIONAL_..

x64는 x86을 확장시킨 형태뭐가 추가 변경된걸까.. 64비트는 메모리 주소가 64비트로 표현됨 ( 64비트의 포인터를 사용한다는 뜻 )컴구 내용 정리해둔 부분에 있을거같음.. IA기준으로 글 써뒀었나 기억이 안나넴 메모리x64 프로세스 가상 메모리의 실제 크기는 16TBx86은 4기가임 범용 레지스터개수랑 크기 다 증가함. x64는 R로 시작하고 x86은 E로 시작함 레지스터 이름이.. EAX이런거처럼하위호환 되려고 하위 비트 레지스터 액세스도 제공함   CALL/JMP Intruction 32비트 x86 (절대주소 방식)FF15 XXXXXXXX 명령어는 4바이트 절대주소(VA)를 사용CALL DWORD PTR DS:[00405000]처럼 명령어 뒤에 바로 절대 주소64비트 x64 (상대주소 방식)F..

64비트 컴퓨팅 환경Intel의 32비트 CPU인 80386은 1985년에 발표되었으나 높은 가격과 지원 OS 부족으로 보급이 미미했다. 이후 1995년 Microsoft의 Windows 95 출시로 본격적인 32비트 시대가 열렸으며, 기존 16비트 DOS 프로그램도 호환되었다. 과도기를 거쳐 Windows 2000/XP 시대에 32비트 프로그램이 주류를 이루게 되었으나, 물리 메모리 4GB 제한 등의 한계로 64비트 CPU와 OS가 등장하며 64비트 컴퓨팅 환경이 시작되었다. 64비트 CPUIntel은 최초의 64비트 CPU **IA-64(이타늄)**을 발표했지만, 기존 x86(IA-32)과 호환되지 않아 시장에서 실패했다. 반면 AMD는 x86과 호환되는 AMD64를 발표해 주목받았고, Intel도 ..

1. 다른 프로그램이과 하드웨어를 연결하는 것을 무엇이라고 하는가?더보기디바이스 드라이버(device driver) 2. 하드 디스크 장치에서 입출력 과정 순서를 올바르게 나열하시오.㉮회전지연 ㉯내부전송 ㉰외부전송 ㉱탐색더보기㉱㉮㉯㉰ 3. RAID의 설명으로 옳지 않은 것은?① RAID 0은 디스크 미러링이라고도 불린다.② RAID 0은 데이터를 논리적 디스크 배열 하나에 일정한 크기로 나누어 분산 저장한다.③ RAID 1은 읽을 때 두개의 디스크 중 아무거나 읽어도 된다.④ RAID 5와 4의 차이점은 패리티의 유무다.더보기④ RAID 5와 4의 차이점은 패리티의 유무다.둘다 패리티는 존재하는데 드라이브에 분산했는지 안했는지 차이

컴퓨터의 내부는 네트워크 카드, cpu, 메모리, 하드디스크, 메인보드…디바이스들은 i/o 버스로 연결되어 있다. (isa, pci, eisa, scsi…) 이거 씨피유랑 vga, 이더넷, 사운드 등등 이런걸 연결한다는거그리고 접속 방식도 다양하다!!i/o 디바이스 내부를 보면 controller, logic, register set, bus interface로 구성되어있다.그래서 cpu가 하드웨어 디바이스에 어떤 값을 주면 하드웨어는 그 로직을 보고 동작한다. 새 디바이스 꽂으면? 인식후에 필요한 드라이버를 설치한다,, 인식해줘야되니까디바이스 제어어떻게 cpu가 디바이스를 제어할까… cpu는 버스를 통해서 register address를 보낸다. 이 주소 공간은 각 디바이스에 할당 되어있는거고 디바이스..

리버스 코드 엔지니어리버싱 도구 종류disassemblerdebugger - PE, script...development tool - assembly, c/c++ ...editor(viewer) - text, hex, resource, registry, string, PE ...monitoring tool - process, file, registry, network, message ...memory dumpclassifiercalculator - hex, binarycompare tool - text, hexpacker/unpackerencoder/decodervirtual machinedecompiler - C, VB, Delphi ...emulator 좋은 분석 도구 선택의 다섯 가지 기준도구 개수..