CoInzBlog

Inside CRT: Debug Heap Management 참고 : http://www.codeguru.com/cpp/w-p/win32/tutorials/article.php/c9535 디버깅을 하다가 0xBAADF00D를 보게되었는데, 악성코드 제작자가 나름 의미를 부여해서 이용하는 값으로 생각했다. 그런데, 구글님께 물어보니 이런 정보가 나오네. RtlHeapAllocate() 함수와 관련된 것으로 보인다. 0xBAADF00D는 아래에 나와있는 것처럼 Alloc 함수(LMEM_FIXED)를 통해 Heap을 생성한 경우에 기본적으로 메모리에 Assign 되어있는 값이다. 아래는 RtlAllocateHeap 을 통해 생성된 메모리 공간이다. 00AB36BC 0D F0 AD BA 0D F0 AD BA 0..

샘플을 보다가 RtlEncodePointer, RtlDecodePointer 에 대해서 보게 되었다. 구글님 검색을 해봐도 정보가 없다. 이름 그대로 본다면, Pointer 정보를 암/복호화 한다는 것인데... 실제 어느 분석가님이 정보를 조금 남겨주셨다. 참고 : http://harunote.tistory.com/33 나도 함 따라가보았다. 위 블로그와는 조금 다르기는 하지만, 결과적으로는 동일하다. 아래의 두 코드를 보면, 주소만 다르고 구현 내용은 거거의 동일하다. 뭐 ㅎ 당연히 XOR 방식이니까... [ RtlEncodePointer ] [ RtlDecodePointer ]

SEH 설치하는 코드가 어떻게 구성되는지 검색해본 결과를 노트한다. [ 참고 사이트 ] http://www.rohitab.com/structured-exception-handling-in-assembly-language SEH Macros 01 @TRY_BEGIN MACRO Handler 02 pushad ;;Save Current State 03 mov esi, offset Handler ;;Address of New Exception Handler 04 push esi ;;Save Old Exception Handler 05 push dword ptr fs:[0] ;;Install New Handler 06 mov dword ptr fs:[0], esp 07 ENDM 08 @TRY_EXCEPT MAC..

이가 없으면 잇몸이라고 했던가?;; http://win32com.goermezer.de/ Python 네트워크 소스 작성 중에 도저히 안풀리는 문제가 있어서 'AutoIt으로 해볼까?'하고 생각하던 중에 Python 에서도 가능할 것 같아 찾아본 사이트이다. [사설] 나의 경우 (사내 Proxy 설정 + HTTPS 사이트 접속) 을 해야하는데, 이런저런 해결책을 시도해봐도 그저 안습... 반나절을 여기에 소비하고서 결국 GG AutoIT으로 IE를 컨트롤하면 순식간에 해결인데 말이다. 본 문제는 추후 사적으로 찾아보도록 하고;; [본론] 아래 사이트는 Python을 통해서 IE를 컨트롤 하는 방법, Office 등 여러가지 MS 제품들을 컨트롤 하는 예제 스크립트가 나와있다. 그냥 말이 필요없다. htt..

보호되어 있는 글입니다.

일부 정상 키 값들 HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats - {CF819DA3-9882-4944-ADF5-6EF17ECF3C6E}" : Fiddler - {D27CDB6E-AE6D-11CF-96B8-444553540000}" : Shockwave - {FB5F1910-F110-11D2-BB9E-00C04F795683}" : Windows Messenger HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist - {5E6AB780-7743-11CF-A12B-00AA004AE837}" : Microsoft Internet Toolbar - {75048700-EF1F-11D0-98..

VMware를 이용하다 보면, Snapshot 때문에 발생하는 오류가 있다. (아래의 파란색 박스) 주로, 다른 곳에서 생성한 Snapshot을 가져와 이용할 때나, VMware의 버전 업 뒤에 기존 Snapshot을 이용할 때 아래의 오류 메시지를 볼 수 있다. 이 오류가 발생하면 아래의 메시지가 나오면서 Revert가 안되고 튕겨져 나오는데, '이걸 다시 첨부터 만들어야 하나;;' 하는 생각에 정신이 아득해진다. The frame buffer layout of the current display cannot be made to match the frame buffer layout stored in the snapshot. The dimensions of the frame buffer in the sn..

역시 사람은 정보가 있어야 ;;; Python 으로 닥질을 하다, 우연히 찾아낸 자료로 한방에 해결... 참고 : http://wolfprojects.altervista.org/dllforpyinc.php 요지는 이것이다. __declspec(dllexport) extern "C" 이것을 붙이고 생성한 Export 함수/변수는 'WINFUNCTYPE' 를 이용한 닥질이 없이도 바로 호출이 가능하다는 것... #define DLLEXPORT extern "C" __declspec(dllexport) DLLEXPORT int sum(int a, int b) { return a + b; } 이런 Export 함수를 참조하고 싶을 때 from ctypes import cdll mydll = cdll.LoadLi..

#!/usr/bin/python # -*- coding: cp949 -*- import win32clipboard as w import win32con def getClipboardText(): w.OpenClipboard() d=w.GetClipboardData(win32con.CF_TEXT) w.CloseClipboard() return d def setClipboardText(aType,aString): w.OpenClipboard() w.EmptyClipboard() w.SetClipboardData(aType,aString) w.CloseClipboard() aType 부분이 약간 문제이긴 한데, 대부분 CF_TEXT 쓸테니 뭐 ㅋ

한번에 해결해준 분이 계신다 ㅜ _ㅜ 원 저작자를 존중하기 위해 링크를 명시한다. http://cpeter7.blogspot.com/2008/11/urllib-unicode-handling.html url = u'http://localhost/test/한글message.html' urllib.urlretrieve(urllib.quote(url.encode('utf8'), '/:')) 정말 감사드립니다.