반응형
Notice
Recent Posts
Recent Comments
Link
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 | 31 |
Tags
- IAT Hooking
- 해킹
- hacking
- 바이트 오더
- 포너블
- HackCTF
- pwnable
- 개발 환경 준비
- Network Byte Order
- 윈도우 커널 드라이버
- windows kernel debugging
- apphelp.dll
- Windows Kernel
- Windows Kernel Debug
- 윈도우 커널
- ucrtbase.dll
- pcap packet capture
- pcap packet
- C언어 패킷캡쳐
- Windows
- packet capture
- arudino
- Windows Kernel Driver
- Msvcrt.dll
- vcruntime140.dll
- 네트워크 바이트 오더
- vcruntime.dll
- 개발하기
- 시스템해킹
- 윈도우 커널 디버깅
Archives
- Today
- Total
목록2022/05/04 (1)
미친해커
[WoW] 32Bit 응용 프로그램에서의 Kernel 함수 호출
Windows 64Bit에서 32Bit 응용 프로그램을 실행하고 디버거로 커널 함수의 어셈블리를 확인하면 대부분 다음과 같은 형식을 띄게 된다. mov eax, 0x00000026 # Windows System Call Number mov edx, Wow64SystemServiceCall # 64비트 모드 전환 함수 call edx # 모드 전환 함수 호출 ret # 리턴 우리가 알고 있는 커널 함수의 호출은 syscall 어셈블리를 사용해 커널에 호출하게 된다. 하지만 Windows on Windows로 돌아가고 있는 32Bit 응용 프로그램은 syscall이 아닌 Wow64SystemServiceCall 이라는 함수를 호출하고 있다. 해당 함수는 Windows 64Bit 운영체제의 32Bit용 ntd..
Windows/Heaven's Gate (Windows on Windows x64)
2022. 5. 4. 00:35