| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | |||||
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| 10 | 11 | 12 | 13 | 14 | 15 | 16 |
| 17 | 18 | 19 | 20 | 21 | 22 | 23 |
| 24 | 25 | 26 | 27 | 28 | 29 | 30 |
- vcruntime.dll
- Windows Kernel Driver
- 윈도우 커널
- 네트워크 바이트 오더
- pwnable
- Network Byte Order
- windows kernel debugging
- 해킹
- Windows Kernel
- 바이트 오더
- Windows Kernel Debug
- 개발 환경 준비
- 개발하기
- Windows
- hacking
- IAT Hooking
- 윈도우 커널 디버깅
- packet capture
- 포너블
- ucrtbase.dll
- pcap packet capture
- arudino
- 윈도우 커널 드라이버
- 시스템해킹
- pcap packet
- vcruntime140.dll
- HackCTF
- Msvcrt.dll
- apphelp.dll
- C언어 패킷캡쳐
- Today
- Total
목록분류 전체보기 (118)
미친해커
[Reversing] EAT Hooking Step 0
EAT Hooking EAT(Export Address Table) Hooking 이란 EAT의 API 주소를 조작하여 후킹하는 기법을 말한다. EAT에는 라이브러리가 외부로 Export 하는 함수명 또는 변수명과 주소가 기록되어 있다. 응용 프로그램 또는 다른 라이브러리가 GetProcAddress를 사용하여 라이브러리가 Export 하는 함수 또는 변수의 주소를 가져온다. 이때 GetProcAddress API는 이 테이블을 참조하여 주소를 구한다. EAT Hooking은 이 원리를 이용한 후킹 기법이다. EAT Structure EAT 구조는 아래와 같다. typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteristics; DWORD TimeDateSt..
보호되어 있는 글입니다.
보호되어 있는 글입니다.
보호되어 있는 글입니다.
보호되어 있는 글입니다.
[WoW] WoW 프로세스의 커널 함수 호출 과정
How are ntdll.dll and WoW ntdll.dll different? ntdll.dll은 커널 함수가 정의 되어 있는 DLL이다. 유저 모드의 커널 함수들은 syscall을 통해 커널 함수를 호출할 수 있다. 하지만 운영체제(커널)은 64Bit이며 WoW 프로세스는 32Bit로 동작한다. 그렇기에 32Bit 프로세스는 syscall 하기 전 64Bit 모드로 전환할 필요가 있다. 위 이미지와 같이 WoW ntdll.dll의 경우 syscall number를 eax 레지스터에 지정하고 syscall이 아닌 call edx로 어떠한 함수를 호출하는 것을 확인할 수 있다. Which function is invoked using edx register? call edx는 ntdll!Wow64Sy..