CoInzBlog

참고 : http://msdn.microsoft.com/en-us/library/ee330728%28VS.85%29.aspx iexplore.exe [ [ -embedding ] [ -extoff ] [ -framemerging ] [ -k ] [ -noframemerging ] [ -nohangerecovery ] [ -private ] ] [ URL ] 구체적으로는 아래의 그림과 같다. iexplore.exe [ -embedding ] 이 기능은 영문 원문 그대로 옮긴다. Starts Internet Explorer through OLE embedding (such as the WebBrowser Control). [ -extoff ] 이 기능은 IE를 플러그인이 없이 깨끗하게 구동할 때 이용한다. ..

가볍게 노트를 하고 넘어가자. 'Borland Delphi' 파일을 보다보면 항상 보이는 리소스 항목 [ DVCLAL - Delphi Visual Component Library Access License ] 참고 : http://www.delphi3000.com/articles/article_2912.asp 위의 사이트에 나오는 내용 중에 " check if the correct version of Delphi is beeing used to compile the code " 문장을 보면, DVCLAL은 Delphi 바이너리가 정상적인 델파이 버전에 의해서 빌드(컴파일)가 되었는지 확인하기 위해서 이용되는 정보이다. 'SysUtils.pas' DVCLAL 정보를 이용하는 모듈 -> GDAL() : 'A..

Inside CRT: Debug Heap Management 참고 : http://www.codeguru.com/cpp/w-p/win32/tutorials/article.php/c9535 디버깅을 하다가 0xBAADF00D를 보게되었는데, 악성코드 제작자가 나름 의미를 부여해서 이용하는 값으로 생각했다. 그런데, 구글님께 물어보니 이런 정보가 나오네. RtlHeapAllocate() 함수와 관련된 것으로 보인다. 0xBAADF00D는 아래에 나와있는 것처럼 Alloc 함수(LMEM_FIXED)를 통해 Heap을 생성한 경우에 기본적으로 메모리에 Assign 되어있는 값이다. 아래는 RtlAllocateHeap 을 통해 생성된 메모리 공간이다. 00AB36BC 0D F0 AD BA 0D F0 AD BA 0..

샘플을 보다가 RtlEncodePointer, RtlDecodePointer 에 대해서 보게 되었다. 구글님 검색을 해봐도 정보가 없다. 이름 그대로 본다면, Pointer 정보를 암/복호화 한다는 것인데... 실제 어느 분석가님이 정보를 조금 남겨주셨다. 참고 : http://harunote.tistory.com/33 나도 함 따라가보았다. 위 블로그와는 조금 다르기는 하지만, 결과적으로는 동일하다. 아래의 두 코드를 보면, 주소만 다르고 구현 내용은 거거의 동일하다. 뭐 ㅎ 당연히 XOR 방식이니까... [ RtlEncodePointer ] [ RtlDecodePointer ]

SEH 설치하는 코드가 어떻게 구성되는지 검색해본 결과를 노트한다. [ 참고 사이트 ] http://www.rohitab.com/structured-exception-handling-in-assembly-language SEH Macros 01 @TRY_BEGIN MACRO Handler 02 pushad ;;Save Current State 03 mov esi, offset Handler ;;Address of New Exception Handler 04 push esi ;;Save Old Exception Handler 05 push dword ptr fs:[0] ;;Install New Handler 06 mov dword ptr fs:[0], esp 07 ENDM 08 @TRY_EXCEPT MAC..

일부 정상 키 값들 HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats - {CF819DA3-9882-4944-ADF5-6EF17ECF3C6E}" : Fiddler - {D27CDB6E-AE6D-11CF-96B8-444553540000}" : Shockwave - {FB5F1910-F110-11D2-BB9E-00C04F795683}" : Windows Messenger HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist - {5E6AB780-7743-11CF-A12B-00AA004AE837}" : Microsoft Internet Toolbar - {75048700-EF1F-11D0-98..

INTEL 명령어 검색 http://www.intel.com/software/products/documentation/vlin/mergedprojects/analyzer_ec/mergedprojects/reference_olh/

보호되어 있는 글입니다.

msvcrt.dll 에 export 되어있는 _adjust_fdiv 값의 용도를 알고자 검색을 하던 중에 찾은 자료이다. 아;;; 아무리 검색을 해도 안나오네. 뭐에다 쓰는 변수인지... Goto sanos source index// // msvcrt.c // // C runtime library // // Copyright (C) 2002 Michael Ringgaard. All rights reserved. // // Redistribution and use in source and binary forms, with or without // modification, are permitted provided that the following conditions // are met: // // 1. Re..

우선, 급한대로 긁어오긴 했는데, 관련된 정보를 찾을 때마다 업데이트를 해야겠다. Windows Registry Editor Version 5.00 ; ; CERT Internet Explorer registry recommendations v1.1 ; January 5, 2009 - Initial release ; January 12, 2009 - Added Protected Mode setting for Windows Vista systems ; ; Punycode support ; http://msdn.microsoft.com/en-us/library/bb250505.aspx [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet..