본문 바로가기

프로그래밍/미분류

(80)

[WINDOWS7] windows>explorer . 윈도우7으로 이사왔다. 과거에 사용하던 시스템의 자료를 가져오는 작업 중에 이상한 현상을 발견하여 기록하여 둔다. 아래 캡쳐를 보자. 명령 프롬프트는 관리자 권한으로 실행했고, E는 과거 시스템의 시스템 드라이브다. 과거 windows 폴더의 파일을 확인하기 위해 explorer . 명령을 실행했지만, 위 화면과 같은 메시지 박스를 띄우며 explorer 가 죽었다. 응용 프로그램을 제대로 시작하지 못했습니다(0xc0000142). 응용 프로그램을 닫으려면 [확인]을 클릭하십시오.windows 폴더가 아닌 다른 폴더에서 동일한 명령을 실행했을 경우에는 문제가 없다. 또한 windows라는 이름을 명시적으로 주었을 경우에도 문제가 없다. explorer 버그인가? 뭐지? ---- 2012년 5월 17일 추..

[RAMMAP] session -1 ?? Sysinternals Tools 중에 새롭게 나온 Rammap 이라는 메모리 모니터링 툴을 살펴보다가 이상한 걸 발견했다. 이 툴은 비스타+ 에서만 동작한다. 집에 있는 비스타 얼티밑에서 돌렸는데, 프로세스 리스트 중에 System 과 smss 가 세션이 -1로 표시되어 있는 걸 발견했다. 왜 이렇게 나온 건가? procexp로 다시 확인해 보았지만, procexp 에서는 둘 다 세션 0에 보이고 있었다. rammap의 버그인가? 아니면 다른 특별한 의미가 있는 것인가? While testing the new sysinternals tool, rammap, which enables us to examine and monitor the memory usage, I encounter with a stran..

[WINDOWS] 가상화 이벤트 eventvwr - 응용 프로그램 - 서비스로그 - microsoft - windows - uacfilevirtualization 가상화 문제에 대해 확인할 때 좋겠군. 참조 : http://support.microsoft.com/kb/927387/ko

[MSDNArchive|번역] 내 프로세스는 가상화되었나? http://blogs.msdn.com/b/vistacompatteam/archive/2007/05/01/is-my-process-virtualized-or-redirected.aspx 내 프로세스는 가상화되었나, 리디렉트되었나? 어떤 시나리오에서는 프로세스가 실제로 리디렉트 되는지 아닌지를 알아내야 할 때가 있다. 예를 들면, 라이브러리가 로딩되었는데, 그 라이브러리에서 호스트 프로세스와 라이브러리가 동일한 가상화를 갖는지 알아야 할 때이다. GetTokenInformation에서 TokenVirtualizationEnabled 인자로 알아낼 수 있다. 이 API에서 TokenElevation 인자를 사용하면 상승된 토큰으로 실행되는지 알 수 있다. 그러나 TokenElevation 이 관리자로 실행되..

윈도우즈 ntdll.dll 0x7c930000 nirsoft의 driverview 로 보면, ntdll.dll 이 잡힌다. 로드된 주소는 0x7c930000 (xpsp3). 다른 드라이버는 로드된 주소가 모두 0x80000000 이상인데, ntdll.dll 만 여기다. vmmap 툴로 보면 ntdll.dll 이 바로 이 주소에 있다는 게 보인다.

[WINDOWS] 메모리상의 맵파일과 이미지 비교 김성우 해킹, 파괴의 광학 6장 예제 6-3을 조금 변형했다. 소스의 저작권이 좀 아리까리한데, 일반적인 예제코드라 생각하여 저자의 허락없이 변형하여 올렸다. (혹시 저작권자가 이 글을 보고, 문제를 제기한다면 요청대로 처리하겠다.) #include #include int CompareMappedAndAutoLoaded(char *szDllPath) { int i, result; //char szDllPath[] = BYTE *pMapFile, *pDll; DWORD dwSize; DWORD dwSameSize = 1; HANDLE hFile, hFileMap; char c; hFile = CreateFile(szDllPath, GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_..

[WINDOWS] DLL 매핑 주소 알아보기 김성우 해킹, 파괴의 광학 6장 예제 살짝 변형해서 실행해 보고, sysinternals vmmap 툴로 비교해 봤다. 결과는 간단히 아래 캡쳐를 보라.

[WINDOWS] 비스타 이후버전 무결성 (integrity level) 보기, 바꾸기 툴. http://www.minasi.com/apps/ chml.exe 라는 툴을 다운받을 수 있어서, 명령행에서 특정 파일이나 폴더의 무결성(integrity)를 확인하거나 수정할 수 있다. 레지스트리에 대한 무결성을 수정하는 툴을 또 따로 있어서 이름이 regil.exe 이다. 윈도우에 기본 보안수정 툴인 icacls.exe 란 것도 있나보다.

이전 1 ··· 5 6 7 8 9 10 다음

티스토리툴바