CoInzBlog

The Magic of magic byte. by Andrey Bayora www.securityelf.org INTRODUCTION by Wayne Langlois (www.diamondcs.com.au) When an antivirus (or similar) scanner opens a file to scan it must first determine the type of file ("is it an executable? is it an audio file?", etc). This is important as it increases scan speed - certain irrelevant files can be skipped, and only appropriate signatures then need..

드라이버 쪼물딱 거리기 3탄 bkdp3_ssdt_hook.zip fxloader.zip 오늘은 SSDT hooking 입니다. 최근에는 SSDT 에 대한 내용은 정말 인터넷에 많이 널려있습니다. 사실 SSDT 훅에 대한 이야기는 아주 오래된(?) – undocumented windows 2000 secrete 에서 첨 본거 같기도 하고.. - 이야기이긴 합니다. 어떤 해킹을 다루거나 하는 커뮤니티(?)에 보면 뭐 최신의 기법인 것 처럼 이야기 하는 사람도 있긴 하지만 말이지요. 여기서는 실제 SSDT (System Service Descriptor Table) 을 후킹해서 원하는 기능을 구현하는 가장 간단한 형태의 코드를 예제로 보일 것입니다. 요즘은 좀 구식(?) 기술로 취급 받기도 합니다만.. win..

cr0 레지스터를 이용한 Write Protection 제거 컨트롤 레지스터는 현재 수행중인 태스크의 특성과 프로세스의 동작모드를 결정 짓는 특별한 레지스터이다. 32 비트와 32 비트 호환 아키텍쳐에서 이 레지스터들은 32 비트이고, 64 비트에서는 64 비트다. mov CRn 인스트럭션으로 이 레지스터들을 건드릴수 있고.. CR3 레지스터는 페이지 디렉토리를 찾아가기 위한 레지스터이고.. 나머지는.. RTFM! CR0 는 CPU 의 operating mode 와 상태를 제어하는 플래그를 포함하고 있다. 오홋.. ^^ PG, CD 등...중요한 플래그들이 많지만 일단 관심대상은 아니고.. ^^ WP Write Protect (bit 16 of CR0) — Inhibits supervisor-level ..

『 레지스트리 활용 (5) 』 2006/11/03 42 『 레지스트리 활용 (4) 』 2006/11/03 51 『 레지스트리 활용 (3) 』 2006/11/03 34 『 레지스트리 활용 (2) 』 2006/11/03 55 『 레지스트리 활용 (1) 』 2006/11/03 42 『 레지스트리 강좌 (4) 』 2006/11/03 52 『 레지스트리 강좌 (5) 2006/11/03 40 『 레지스트리 강좌 (2) 』 2006/11/03 57 『 레지스트리 강좌 (3) 』 2006/11/03 38 『 레지스트리 강좌 (1) 』 2006/11/03 106

PUSHFD 명령은 32비트 EFLAGS 레지스터 값을 스택에 푸시하고 POPFD는 스택에서 EFLAGS로 팝한다. PUSHFD POPFD 실제 주소 모드 프로그램은 16비트 FLAGS 레지스터를 스택에 푸시하기 위해 PUSHF 명령을 사용하고 POPF는 스택에서 FLAGS로 팝한다. 플래그 값의 백업을 만들고 후에 다시 복구하는 것이 유용할 때가 많다. 이렇게 하는 한 가지 방법은 PUSHFD와 POPFD로 코드의 어떤 블록을 감싸는 것이다. pushfd ; ; code ; popfd 이 러한 푸시와 팝을 사용할 때 프로그램의 실행 경로가 POPFD를 지나치지 않게 매우 조심해야만 한다. 프로그램 내의 모든 푸시와 팝이 있는 곳을 기억하기 까다로울 수 있다. 보다 오류가 적은 방법은 플래그를 변수에 저..

Addressing mode From Wikipedia, the free encyclopedia Jump to: navigation, search Addressing modes are an aspect of the instruction set architecture in most central processing unit (CPU) designs. The various addressing modes that are defined in a given instruction set architecture define how machine language instructions in that architecture identify the operand (or operands) of each instruction..

1 .0 스트링관련 인스트럭션들, REP 접두어, 방향 플래그(Direction Flag) 시작하기에 앞서... 이번 회에서는 스트링과 배열을 다룰 때 쓰는 인스트럭션들과 이차원 배열을 사용하는 방법, 문자열 소팅함수를 만드는 방법에 대해 배울 것이다. 또한 본 회의 내용을 이용하면 스트링과 배열 처리를 고급언어를 이용하는 것 보다 훨씬 빠르게 할 수 있다. 어셈블리어에서는 스트링을 다루는 데 이용될 수 있는 좀더 편리한 인스트럭션들이 제공되기 때문이다.(엄밀히 말하면 CPU가 제공하는 것이다.) 이차원 배열은 고급언어에서와 달리 사용하기가 간단하지 않다. 따라서 이를 사용하는 방법을 공부해 볼 것이다. 마지막으로 직접 버블소팅을 이용한 소팅함수를 만들어 볼 계획이다. 스트링관련 인스트럭션들 스트링 처리..

┌───────────────────────────────────┐ │ ▶ 번 호 : 150/150 ▶ 등록자 : KCGON │ │ ▶ 등록일 : 2000년 04월 27일 17:04 │ │ ▶ 제 목 : [참고] 팬티엄2/3에서 다시보는 XOR명령 │ └───────────────────────────────────┘ 아주 오랜 옛날에 이런 어셈블리 문장을 본일이 있었습니다. xor ax, dx xor dx, ax xor ax, dx 위의 3줄의 구문이 별도의 레지스터나 메모리를 사용하지 않고 두 레지스터의 내용을 교환한다는 것이었습니다. 즉, xchg ax, dx 와 등가의 구문이라는 것입니다. 그때는 하도 신기해서 수치를 대입해서 따라가 봤더니 진짜로 교환이 되더라고요. 아주 재미있는 일도 다 있네 ..

후킹예제 오전 1:42 2000/10/05 조경민 Global Hooking in Win32 ==================================================== 후크에는 두가지가 있다. Local Hook - 하나의 스레드나 프로세스 안에서의 후킹 Global Hook - 전역 모든 윈도우들에 대한 후킹 후크를 하기 위해서는 기본적으로 두가지 자료형을 알아야 한다. HHOOK - 후크 핸들 윈도우 시스템에서 한번 이벤트가 발생하면 후크 체인의 첫 후크핸들에게 이벤트를 넘긴다. 각 후크들은 다음 후크를 호출하여 후크체인에 있는 모든 후크 프로시져를 호출하게 된다. HOOKPROC - 후크 프로시져로 후크시 호출되는 프로시져이다. LRESULT CALLBACK fnHookProc(..

About Hooks Hooks tend to slow down the system because they increase the amount of processing the system must perform for each message. You should install a hook only when necessary, and remove it as soon as possible. This section discusses the following: Hook Chains Hook Procedures Hook Types Hook Chains The system supports many different types of hooks; each type provides access to a different..