kisoo

내가 구현 하려던 기능은 탐색기에 나타나는 볼륨을 HIDE 시키고 HIDE 된 볼륨을 다시 보이게 하는 기능 이었다. 문제는 레지스트리 값을 변경 해도 그것이 실시간으로 윈도우에 반영이 안되었던 부분 이었다. 오늘은 volume 을 HIDE/SHOW 하는 부분에 대해서 설명 하도록 해 보겠다. 회사 에어컨이 빵빵해서 콧물이 나오는 구만 ㅡ,ㅡ 볼륨을 hide 시키는 방법 key : HKLU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER data key : NoDrives data value : type DWORD or BINARY 아래는 각 드라이브 에 대한 NoDrives 값이다. 숨기려고 하는 볼륨을 값을 NoDrives 에 써주면 된다. ..

SRV*D:\Symbol\WebSymbol*http://msdl.microsoft.com/download/symbols 를 Symbol Path에 넣으면 웹 심볼을 사용할 수 있다. 로드된 모듈 리스트 보기 lm 명령을 이용하면 된다. lm k : Kernel Mode 모듈 표시 lm u : User Mode 모듈 표시 lm m : 패턴을 검사하여 해당하는 것만 보여줌

함수 호출로 인한 스택 구성시, 처음에, 이전의 EBP 레지스터 값을 스택에 저장한다. 이를 이용해 현재의 EBP + 0x4 에서 함수의 Return Address 를 찾을 수 있다. 이 방법을 반복하여, 함수 콜 관계를 확인할 수 있다. 예제 ) void __fastcall WhoCallMe() { PVOID pEBP; PVOID pStackFrame; DWORD dwReturnAddr; DWORD dwArgs[3]; CHAR sMsg[512]; //__asm mov eax, [ebp+4] //__asm mov dword ptr [dwReturnAddr], eax __asm mov pEBP, ebp do{ pStackFrame = pEBP; pEBP = (PVOID)*(PDWORD)(pEBP); dwR..

함수 호출로 인한 스택 구성시, 처음에, 이전의 EBP 레지스터 값을 스택에 저장한다. 이를 이용해 현재의 EBP + 0x4 에서 함수의 Return Address 를 찾을 수 있다. 이 방법을 반복하여, 함수 콜 관계를 확인할 수 있다. 예제 ) void __fastcall WhoCallMe() { PVOID pEBP; PVOID pStackFrame; DWORD dwReturnAddr; DWORD dwArgs[3]; CHAR sMsg[512]; //__asm mov eax, [ebp+4] //__asm mov dword ptr [dwReturnAddr], eax __asm mov pEBP, ebp do{ pStackFrame = pEBP; pEBP = (PVOID)*(PDWORD)(pEBP); dwR..

가장 맣은 설정 내용과 다양한 구성을 가지고 있는 키 입니다. 때문에 이 레지스트리의 설정을 바꾸면 시스템에 많은 영향을 미치는대 어떻게 바꾸느냐에 따라 좀더 좋은 구성으로, 잘못되어 최악의 경우 윈도우의 재설치를 요할지도 모릅니다. 이 키는 윈도우에서 사용하는 파일 시스템, HW Driver, 윈도우 커널이 사용하는 정보에 이르기까지 윈도우 하부 시스템에 관련된 다양한 설정 내용을 포함하고 있습니다. 제어판의 구성 요소중 HKEY_CURRENT_USER→Control Panel에서 볼 수 없었던 요소들도 설정할 수 있습니다. 이 SYSTEM키에서 가장 많이 볼 수 있는 키는 ControlSet입니다. Control Set은 드라이버 설정, HW 프로필 설정, 레지스트리 항목을 그룹으로 모아 놓은 것입니..

Setup] PendingFileRenameOperations & RunOnce Application을 설치하는 중에 재부팅을 하는 경우가 있습니다. Application 설치 중 다른 File(DLL 과 같은 File) 을 사용해야 하는 경우가 생기는데, 이때 해당 File 이 다른 Process 가 사용하고 있는 경우, 재부팅을 요청하게 됩니다. 재부팅 후 남은 Procedure 는 해당 Process를 다시 실행해야 하는 것입니다. 이것을 저장하는 곳이 다음의 Registry 입니다. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\PendingFileRenameOperations 해당 Registry 는 MSI 에 의해서 보통..

2진수 10진수 8진수 16진수 문자 설명 0000 0000 0 0 0 NUL NULL 문자 0000 0001 1 1 1 SOH 헤더 시작(Start Of Header) 0000 0010 2 2 2 STX 본문 시작, 헤더 종료(Start of TeXt) 0000 0011 3 3 3 ETX 본문 종료(End of TeXt) 0000 0100 4 4 4 EOT 전송 종료, 데이터 링크 초기화(End Of Transmission) 0000 0101 5 5 5 ENQ 응답 요구(ENQuiry) 0000 0110 6 6 6 ACK 긍정응답(ACKnowledge) 0000 0111 7 7 7 BEL 경고음(BELl) 0000 1000 8 10 8 BS 백스페이스(BackSpace) 0000 1001 9 11 9 ..

SERVICE PROCESS 에서 HKEY_CURRENT_USER 을 OPEN 하면 FAILED 가 발생 했다. NT 이상 VISTA 까지 이 부분을 아래와 같이 처리 하였더니 되더라~~~방법은 CURRENT USER PROCESS 의 SID 값이다. 소스 우선 아래와 같이 현재 user 의 session id 를 통해서 user process 의 pid 를 구해야 한다. user process 중에 항상 뜨는 프로세스가 무엇이 있을까>???? 바로 explorer.exe 이다. 이 프로세스의 pid 를 통해서 SID 값을 구하여 레지스트리에 접근 하면 QUERY 가 가능하다. @desc : vista / xp / nt 이상의 os 에서 service process 가 HKEY_CURRENT_USERS ..

요것이 무엇이냐??? services process 와 com server 를 디버깅 하는 방법 이란다. 자세한 내용은 다음 URL 를 따라가 보도록~ http://www.debuginfo.com/articles/debugstartup.html#intro

나만 사용하는 줄 알았는데 다들 !process 0 7를 많이 사용한다. OSR's ntfsd List: FltSendMessage usuage Windbg에서 커널 디버깅 시에 이 명령어를 사용하면 시스템에 존재하는 모든 프로세스와 그에 속한 쓰레드들의 콜스택이 리스팅 된다. 또한 IRP나 락 정보들도 출력 되므로 어디에서 hanging이 발생했는지 추적이 가능하다. 또한 쓰레드가 얼마나 Wait 스테이트에 있는지도 알수 있으므로 어떤 쓰레드가 지금 문제가 있는지도 파악이 가능하다. 단 문제가 하나 있는데, 이 명령을 한번 실행하면 명령 수행 종료까지는 적어도 수십분 이상 기다려야 한다는 것이다.