참고 ＃ Windows 시스템 프로그래밍 제 3판 JOHNSON M. HART 저 ＃ Micosoft 설명서 (링크) APC (Asynchronous procedure call) 1. 개념 - 인자를 전달받아 바로 호출하는 SPC(Synchronous Procedure Calls) 함수와 달리, APC 는 특정 스레드의 컨텍스트에서 실행되기 위해 queue 에 삽입되는 비동기적으로 실행되는 함수임 - 정규 실행 경로를 실행하기 전에 스레드가 다른 코드를 실행하도록 하는 것이 가능 - 모든 스레드는 스레드에 첨부된 APC queue 를 가짐. - 시스템 전체에 걸쳐 있는 DPC queue 와는 달리 APC queue 는 스레드 별로 독립적으로 존재한다. ① 스레드가 alertable wait 상태일 때 애..

공부 사이트: cocomelonc 블로그 모든 PE module은 일반적으로 외부 함수를 사용한다. → 실행중일 때 프로세스 메모리에 매핑되는 외부 DLL에 존재하는 모든 함수를 호출. → 프로세스 코드에서 이러한 함수들을 사용할 수 있도록 함. AntiVirus 는 악성 프로그램이 외부 DLL과 함수를 사용하는 것을 분석하는데, 이는 해당 바이너리가 악의적인 행위를 하는지를 알아내는 지표가 될 수 있다. → AV 엔진은 임포트 주소를 조사함으로써 디스크상의 PE 파일을 분석한다. → 무적은 아니지만 효과가 있긴 하니까 많은 AV 엔진이 사용함. 이를 우회하기 위해 할 수 있는 것은, "함수 호출을 난독화" 하는 것이다. Obfuscating Function Call 런타임 도중 호출되는 DLL 및 외부..

1. PE - PE파일은 윈도우 운영체제에서 사용되는 실행 파일 포맷이다. 윈도우 시스템에서 동작되는 대부분의 실행 파일은 PE파일. - 윈도우 운영체제에서 사용되는 실행 파일(exe), DLL파일, object파일, 폰트 파일, sys파일 그리고 드라이버 파일 등을 위한 파일 형식이다. (컴파일의 결과물인 OBJ 파일을 제외한 모든 것은 실행 가능한 파일.) 종류 주요 확장자 실행 계열 EXE, SCR 드라이버 계열 SYS, VXD 라이브러리 계열 DLL, OCX, CPL, DRV 오브젝트 파일 계열 OBJ PE구조는 DOS헤더, PE 헤더, 각 Section 헤더, 각 Section 테이블로 구성되어 있다. - PE포맷은 정해진 포맷을 가짐. 이 정보들을 추출하여 언제 어떤 머신에서 어떤 컴파일러로 ..

Windows Terminal 1) curl ifconfig.me 2) curl ipinfo.io/ip 3) curl wtfismyip.com/json

runas /user:administrator cmd 하면 관리자권한으로 cmd 켤 수 있다. 물론 패스워드 입력해야함. windows에서 최상위 권한 SYSTEM이라는 것 잊지말자.

Netsh는 현재 실행 중인 컴퓨터의 네트워크 구성을 표시하거나 수정할 수 있는 명령 netsh advfirewall set allprofiles state off 켜는건 뭐겠음? netsh advfirewall set allprofiles state on

PSCP.exe [경로] [계정@주소:/폴더] 근데 안되니까 빡친다. 나는 다른 방법을 써야겠다 그건바로 windows cmd에서 ftp 사용해서 보내기 예아 ㅋㅋ