반응형
Notice
Recent Posts
Recent Comments
Link
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 | 31 |
Tags
- 개발하기
- vcruntime140.dll
- pcap packet
- 윈도우 커널 디버깅
- 바이트 오더
- ucrtbase.dll
- HackCTF
- C언어 패킷캡쳐
- Windows
- pwnable
- vcruntime.dll
- 해킹
- Windows Kernel Debug
- Network Byte Order
- arudino
- pcap packet capture
- hacking
- 개발 환경 준비
- Windows Kernel Driver
- packet capture
- 시스템해킹
- apphelp.dll
- Msvcrt.dll
- 포너블
- 윈도우 커널 드라이버
- 네트워크 바이트 오더
- windows kernel debugging
- 윈도우 커널
- IAT Hooking
- Windows Kernel
Archives
- Today
- Total
목록2022/05/04 (1)
미친해커
[WoW] 32Bit 응용 프로그램에서의 Kernel 함수 호출
Windows 64Bit에서 32Bit 응용 프로그램을 실행하고 디버거로 커널 함수의 어셈블리를 확인하면 대부분 다음과 같은 형식을 띄게 된다. mov eax, 0x00000026 # Windows System Call Number mov edx, Wow64SystemServiceCall # 64비트 모드 전환 함수 call edx # 모드 전환 함수 호출 ret # 리턴 우리가 알고 있는 커널 함수의 호출은 syscall 어셈블리를 사용해 커널에 호출하게 된다. 하지만 Windows on Windows로 돌아가고 있는 32Bit 응용 프로그램은 syscall이 아닌 Wow64SystemServiceCall 이라는 함수를 호출하고 있다. 해당 함수는 Windows 64Bit 운영체제의 32Bit용 ntd..
Windows/Heaven's Gate (Windows on Windows x64)
2022. 5. 4. 00:35