kisoo

참고 사이트: http://www-igm.univ-mlv.fr/~lecroq/string/ 참고 문서 : string matching algorithm(문자열 검색 알고리즘)의 특징 문자열검색: 텍스트내의 하나의 유형(검색어, 패턴)에 대한 실직적인 모든예를 검색 색인되지 않은 텍스트에서의 검색 예: 검색기의 출력과정에서 필터링(하이라이팅) 윈도우: 텍스트를 패턴의 길이단위로 나눈 것 예: 텍스트 abcde, 패턴 ab 일 때, 윈도우는 ab, bc, cd, de 문자열 검색의 성능 최악의 경우 복잡도 O(n)이 목표 알파벳수=C, 텍스트의 길이=n, 검색어(패턴)의 길이=m (n>m) 텍스트에서 검사해야할 회수: n-m+1 텍스트에서 검색어와 일치한 것을 찾을 확률: 1/Cm 두문자가 문자가 같을 확률..

http://www.zdnet.co.kr/ArticleView.asp?artice_id=00000010069338

어떤 프로그램 작동방식이 궁금해 이것 저것 뒤져 보던중 detour 라는 MS Research 팀에서 만드는 툴에 대해 알게 되었다. 이 툴엔 여러가지 기능이 있는데 Dll Injection 툴, Api Trace 툴, Memory Allocation Trace 툴 등등.. 무엇 보다 좋았던건 소스도 포함되어 있거니와 PPT 파일로 작동 방식도 설명 해주고 있다. 이 중 가장 애용(?) 했던 것이 API 함수가 호출 되는 것을 Trace 로그로 남겨 주는 traceapi 툴이다. 이를 이용해 특정 프로그램을 실행 하면 이 프로그램이 로더에 의해 로드 되어 쓰레드가 시작 될 때 부터의 모든 API를 로그로 찍어 준다.(모든 API는 아니고 거의 모든. 이에 대해서는 다시 설명 한다.) 몇 십초만 실행 시켜..

Endless Creation이라는 서울산업대학교 컴퓨터공학과내 과소모임 홈페이지에서 이봉석님께서 작성하신 글을 옮김. (홈페이지에 방명록이 없어서... 양해를 구하지 못하고 옮겼습니다...) ================================================= 커널디버거를 동작하지 못하도록 하는 방법 보안제품을 개발하여, 시중에 제공하게 되면, 간간히 특별한 하나님의 지혜를 받은 분들이 커널디버거를 동원하여 이 보안제품의 보안성을 가차없이 파해쳐버리는 경우를 종종보게 된다. 완벽한 보안은 사실 사내직원들의 인성교육밖에 없다는 것은 모두 다 아는 사실이며, 완벽한 보안은 불가능하다고 보는 견해가 일반적인 만큼 이번호에서는 간단한 트릭을 사용하여 커널디버거의 동작을 무용지물로 만드는 방..

유저모드에서 시작된 루트킷과 보안제품의 싸움은 커널모드에서도 계속된다. 3부에서는 커널모드 API 후킹의 대표적인 기법인 SDT 후킹의 원리에 대해서 살펴보고, 이를 둘러싼 해커와 보안 개발자들 사이의 전쟁에 관한 이야기에 대해서 살펴본다. 다양한 기술을 통해서 그들의 아이디어를 훔쳐보자. ■SDT 후킹 SDT(Service Descriptor Table) 후킹은 시스템 서비스 테이블의 값을 조작하는 API 후킹의 한 방법이다. 유저모드 API 후킹의 경우 프로세스간 컨텍스트가 다르기 때문에 시스템 전역 후킹을 하기 위해서는 일일이 모든 프로세스에 관련 코드를 주입(injection) 시켜야 한다는 불편한 점이 있었다. 이러한 문제를 해결한 한 가지 방법이 SDT 후킹이다. SDT 후킹은 커널모드에서 한..

http://coinz.tistory.com/239

드라이버의 ImageBase수정하는 방법(Code Virtualizer 에서 이미지베이스 조정하라고 나올때가 있음) SOURCE파일에 다음 라인을 추가한다 DRIVERBASE=0x00400000

오늘은 윈도우에 CD-ROM / USB 등과 같은 미디어를 탈/부착 했을 때에 이벤트를 처리 하는 부분에 대해서 설명 하고자 한다. 개발을 하다보면 다양한 부분을 처리 할 경우가 있는데 이번 경우는 특정 USB 를 부착 할 경우에 CD-ROM 으로 인식 되는 이 USB 내부의 프로세스를 실행 시켜 주는 개발 작업 이었다. 다른건 다 생략 하고 WM_USER_MEDIACHANGED 이벤트 메세지를 받는 부분만 설명 하도록 하겠다. 소스 구현부를 보면 쉽게 이해가 될것으로 보인다. 너무 간단하므로..... *********************************************************************** 소스 구현 부 **********************************..

SRV*D:\Symbol\WebSymbol*http://msdl.microsoft.com/download/symbols 를 Symbol Path에 넣으면 웹 심볼을 사용할 수 있다. 로드된 모듈 리스트 보기 lm 명령을 이용하면 된다. lm k : Kernel Mode 모듈 표시 lm u : User Mode 모듈 표시 lm m : 패턴을 검사하여 해당하는 것만 보여줌

함수 호출로 인한 스택 구성시, 처음에, 이전의 EBP 레지스터 값을 스택에 저장한다. 이를 이용해 현재의 EBP + 0x4 에서 함수의 Return Address 를 찾을 수 있다. 이 방법을 반복하여, 함수 콜 관계를 확인할 수 있다. 예제 ) void __fastcall WhoCallMe() { PVOID pEBP; PVOID pStackFrame; DWORD dwReturnAddr; DWORD dwArgs[3]; CHAR sMsg[512]; //__asm mov eax, [ebp+4] //__asm mov dword ptr [dwReturnAddr], eax __asm mov pEBP, ebp do{ pStackFrame = pEBP; pEBP = (PVOID)*(PDWORD)(pEBP); dwR..