CoInzBlog

참조 : http://tikifr.egloos.com/4481530 [ 위 블로그에 올라온 글 ] 펜티엄상의 PUSH, POP은 파이프라인의 효율적인 스퍼스칼라을 동작을 방해합니다. 같은 동작을 함에 있어 펜티엄의 경우 최소 10클럭이 필요하지만, ARM에서는 이론상 최소 3클럭(MOV4개 1클럭, CALL 2클럭)만으로 함수 호출이 가능합니다. PUSH, POP은 RISC계열의 CPU들에서는 악(惡)으로 간주되어서 명시적인 SP레지스터와 PUSH, POP 명령어가 없습니다. 수퍼스칼라가 몇개건 PUSH, POP을 사용하는 동안에는 하나의 명령어만이 실행가능합니다. 참고로, 대개의 RISC계열예서는 범용 레지스터중 하나를 SP로 사용하며 그 SP조차조 ADD 또는 SUB 명령으로 PUSH, POP 효과를..

The ProbeForRead routine checks that a user-mode buffer actually resides in the user portion of the address space, and is correctly aligned. 즉, 파라메터로 전달된 유저모드 버퍼 주소 가 사용자 주소 공간안에 포함되어 있는지 여부를 확인하는 함수이다. VOID ProbeForRead( IN CONST VOID *Address, IN SIZE_T Length, IN ULONG Alignment ); Address Specifies the beginning of the user-mode buffer. Length Specifies the length, in bytes, of the user-mode..

. 본문은 없다 .

오늘 처음으로 이 값을 변조하는 프로그램을 봤다. Bagle 변종인데 실행 도중 이 값을 0x00 으로 SetValue 한다. Limited User Account (LUA) '사용자 계정'관련 제한을 의미한다. Key : SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System Value : "EnableLUA" Type : REG_DWORD Data : This MUST be a value in the following table. 0x00000000 : Disabling this policy disables the "administrator in Admin Approval Mode" user type. 0x00000001 : This policy ena..

참고 : 1) http://www.jorgon.freeserve.co.uk/TestbugHelp/UseofIMUL.htm 2) http://faydoc.tripod.com/cpu/imul.htm IMUL 명령어는 EBX를 이용해서 (EBX * EBX) MUL 연산을 수행한 후 결과를 EAX, EDX에 저장한다. EBX 가 4바이트이기 때문에 MUL 연산의 결과를 저장하기 위해서 EDX:EAX 의 조합을 이용한다. 예를들면 아래와 같다 EBX : FFFFFF4C (-180) 이라면, EBX*EBX = 0x0000000000007E90 이다. 이 결과를 저장한다면 EDX : 0x00000000 EAX : 0x00007E90 이 된다.

해당 키는 XP 이후에 제어판의 모습을 원래 Style 로 보고자 할 때 설정하는 부분이다. 0x01 : 클래식 Style 보기 0x00 : XP Style 보기 참고 : http://technet.microsoft.com/en-us/library/cc736754%28WS.10%29.aspx ForceClassicControlPanel - Updated: March 28, 2003 HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictCpl Description Stores configuration data for the policy setting Force classic Control Panel Style. Change Met..

MS Office 계역의 Exploit 에 대한 분석을 할 수 있는 프로그램이다. Excel, PPT, Word 와 같은 파일들에 대해서 구조를 확인할 수 있다. [ 메인 화면 ] [ 파서 선택 화면 ] 실행 후 우측을 보면, 각 타입의 파일 구조가 나타나며 아래의 그림과 같다. [ 파싱 결과 오피스 구조 ] 여기서 각 항목을 선택하면, 좌측의 HEX 데이터에 Block 설정이 되며 위치를 확인할 수 있다. 다운로드 경로 : http://go.microsoft.com/fwlink/?LinkId=158791

개인적인 학습 목적으로 퍼온 글입니다.Startup DLL ModulesThis tab displays startup DLL modules installed on your system. These modules are loaded automatically during Windows startup or later when a particular application starts. What's A Startup DLL Module? Location The Disable Action The Delete Action Properties What's A Startup DLL Module? There're six types of startup modules: 1. ShellExecute Hook: These mo..

출처 : 바이러스 제로 시즌 2 Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 오후 3:02:51, on 2008-12-27 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16762) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Sys..

외국 멀웨어 분석가들의 블로그를 돌아다니던 중에 재미난 기사를 봐서 공유합니다. 구체적인 위치는 아래의 주소입니다. http://zairon.wordpress.com/2007/08/31/find-out-hidden-files-comparing-vmwares-snapshots/ 기사에서 zairon 은 다음과 같은 말을 합니다. "I decided to write a simple application able to compare two files string to string." 즉, vmware 스냅샷의 전체 이미지를 비교하지 않고, 메모리 스냅샷 만 비교하는, 그 중에서도 내부에 있는 문자열만 비교를 하는 메커니즘입니다. 실제로 vmware 스냅샷은 매 이미지마다 수백MB 크기를 갖고 있기 때문에 바이..