CoInzBlog

03 PE 파일 분석-Export 분석원문 :  http://kkamagui.springnote.com/pages/406170#들어가기 전에...이 글은 kkamagui에 의해 작성된 글입니다. 마음껏 인용하시거나 사용하셔도 됩니다. 단 출처(http://kkamagui.tistory.com, http://kkamagui.springnote.com)는 밝혀 주십시오. 기타 사항은 kkakkunghehe at daum.net 이나 http://kkamagui.tistory.com으로 보내주시면 반영하겠습니다.개요 지난번에 PE 파일의 헤더구조 및 Import 섹션에 대해서 알아보았다. 잘 기억이 안나면 01 PE 파일 분석-헤더분석 문서 및 02 PE 파일 분석-Import 분석 을 다시 보자. 이번에 분..

00 윈도우 DLL 분석원문 :  http://kkamagui.springnote.com/pages/388634들어가기 전에...이 글은 kkamagui에 의해 작성된 글입니다. 마음껏 인용하시거나 사용하셔도 됩니다. 단 출처(http://kkamagui.tistory.com, http://kkamagui.springnote.com)는 밝혀 주십시오. 기타 사항은 kkakkunghehe at daum.net 이나 http://kkamagui.tistory.com으로 보내주시면 반영하겠습니다.개요 보안 프로그램들이 실행될 때, 실행 중인 프로세스에 DLL을 밀어 넣는 것은 알만한 사람들은 다 아는 비밀(??)이다. DLL을 밀어넣어서 각종 보안에 필요한 API를 후킹한다던지 하는 작업을 하게되는데... 순..

[서울] 앵콜 뮤지컬 배고파 50개 쇼핑몰 19,100~ 30,000 [서울] 비보이를 사랑한 발레리나 17개 쇼핑몰 22,500~ 50,000 [서울] 2008 점프 315개 쇼핑몰 20,000~ 65,000 [서울] 13주년 기념, 뮤지컬 사랑은 비를 타고 293개 쇼핑몰 4,000~ 35,000 [서울] 로맨틱코미디 뮤지컬「뮤직인마이하트」 3개 쇼핑몰 25,000~ 40,000 [서울] 비보이를 사랑한 발레리나 시즌1 222개 쇼핑몰 10,000~ 90,000 [서울] 뮤지컬 헤어스프레이 42개 쇼핑몰 32,000~ 80,000 [서울] 뮤지컬 오! 당신이 잠든 사이 9개 쇼핑몰 14,000~ 30,000 [서울] 뮤지컬 위대한 캣츠비 Season2 56개 쇼핑몰 20,000~ 40,000 [서울]..

------------------------------------------------------------------------------------------- 우선 WINDEF.H를 보면 다음을 알 수 있다. CALLBACK = WINAPI = PASCAL = __stdcall WINAPIV = __cdecl 즉 window에서의 calling convention은 크게 __stdcall과 __cdecl로 생각할 수 있다. 그럼 __stdcall과 __cdecl의 공통점과 차이점을 살펴보자. 공통점은 함수의 인자를 스택에 쌓을 때 오른쪽에서부터 왼쪽으로 쌓기 때문에 가장 첫번째 인자가 스택의 맨 위로 올라온다. 차이점은 __stdcall은 호출된 함수, 즉 __stdcall로 정의된 함수 내부에서 ..

주제: Win32 API훅 강좌... 음... 어디선가 다운받은 자료인 것 같은데... 내용은 좋은 것 같은데 저자분의 이메일이 없어서 동의없이 올립니다... 같이 구한 파일의 다른 텍스트에 보니 원 저자가 성상훈님이라고 되어 있군요... 아마도 인터넷으로 도는 것으로 봐서는 저작권의 문제는 없는 것 같습니다.. 그런데 강좌가 계속 진행되는 것 같은데 전반부밖에 없네요... 전체를 모르시는 분들에게는 많은 궁금증이 남을 수 있는 부분일 것도 같습니다.. 하지만 한번쯤 읽어보시면 윈도우 시스템에 대한 좀 더 많은 이해를 할 수 있을것 같네요.. 목차 제1강 Win32 API 후킹의 기본 - http://www.jiniya.net/bbs/viewtopic.php?t=590 제2강 다른 프로세스의 주소공간으로..

Taking a Snapshot and Viewing Processes The following simple console application obtains a list of running processes. First, the GetProcessList function takes a snapshot of currently executing processes in the system using CreateToolhelp32Snapshot, and then it walks through the list recorded in the snapshot using Process32First and Process32Next. For each process in turn, GetProcessList calls th..

주제: 제2강 다른 프로세스의 주소공간으로 !! (2) Win32 Global API Hook - 제2강 다른 프로세스의 주소공간으로 !! (2) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 다들 추석연휴는 알차게 보내셨는지요... 바쁜일이 있어서 생각보다 늦게 강좌를 올리게되었습니다. 너그 럽게 이해해주시길... (아무도 기다리지 않으셨다면 뭐... 하하...-.-; 자, 늦게 온만큼 알차게 시작해야 겠죠? 오늘은 지난시간에 이어서 다른 프로세스의 주소공간을 넘나들수 있는 방법에 대해서 알아보도록 하 죠. 지난시간에 말씀드렸듯이 오늘 내용은 NUMEGA SOFTWARE의 시스템 엔지니어인 Matt Pietrek의 아이디어 에서 빌..

윈도우의 메모리 관리-3 고동일 (diko@taff.co.kr) 가상 메모리 함수 앞에서 말했듯이 어떤 메모리 공간을 확보하거나 커밋하기 위해서는 VirtualAlloc이라는 Win32 함수를 사용합니다. 이 함수는 다음과 같습니다. LPVOID VirtualAlloc( LPVOID lpAddress, SIZE_T dwSize, DWORD flAllocationType, DWORD flProtect ); ◆ 주소 공간에서 어떤 영역을 확보할 때 처음 파라미터 lpAddress는 시스템에게 확보시키고 싶은 주소 공간의 시작 주소를 나타냅니다. 보통의 경우 NULL 값을 주며 이는 시스템이 자동으로 비어 있는 주소를 정하도록 합니다. 주의할 점은 lpAddress 인자 값은 언제나 사용자 모드 파티션 범위 ..

주제: 제2강 다른 프로세스의 주소공간으로 !! (1) Win32 Global API Hook - 제2강 다른 프로세스의 주소공간으로 !! (1) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 지난 강좌의 내용이 어땠는지 모르겠군요. 첨부터 반말로 써서 혹시 기분이 상하셨을까봐, 이번 강좌부터 는 처음에 간단한 인사를 드리고 시작하겠습니다. ^^ 생각보다 많은 사람들이 보신것 같은데요. 실제로 코 딩을 해가면서 디버깅까지 해보셨다면 별로 어려울게 없었을거라고 믿습니다. 자 이제 이번 강좌부터는 약간의 레벨업이 필요할듯 한데요. 이번 강좌에서 다루는 내용은 SOFTICE, BOUNDS CHECKER 등의 디버깅툴로 유명한 NUMEGA ..

주제: 제1강 Win32 API 후킹의 기본 Win32 Global API Hook - 제1강 Win32 API 후킹의 기본 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ (강의의 진행상 존칭을 생략합니다.) 자신이 만약 어느정도의 레벨을 가진 윈도우즈 프로그래머라면 이런 생각을 한번쯤 해보았을 것이다. "만약 Windows API를 후킹할 수 있다면 재미있는 것을 많이 해볼수 있을텐데..." 그리고 의욕과 시간이 있었다면 아마 도전해본 사람도 꽤 있었을것이다. 그러나 실제로 이것을 성공한 사람 은 그리 많지 않았을것으로 안다. 여러분이 만약 어플리케이션 레벨에서만 프로그래밍했다면 이것은 불가능 해보였을지도 모른다. 시스템 레벨 프로그래머라면 이것이 제법 까..