반응형
Notice
Recent Posts
Recent Comments
Link
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 |
Tags
- Msvcrt.dll
- 네트워크 바이트 오더
- C언어 패킷캡쳐
- Windows Kernel Debug
- vcruntime140.dll
- Network Byte Order
- HackCTF
- 해킹
- packet capture
- Windows Kernel Driver
- hacking
- 윈도우 커널
- 포너블
- apphelp.dll
- 바이트 오더
- arudino
- vcruntime.dll
- 윈도우 커널 드라이버
- ucrtbase.dll
- IAT Hooking
- 윈도우 커널 디버깅
- windows kernel debugging
- pwnable
- pcap packet
- 개발하기
- Windows Kernel
- Windows
- 개발 환경 준비
- pcap packet capture
- 시스템해킹
Archives
- Today
- Total
목록2022/06/14 (1)
미친해커
[WoW] WoW 프로세스의 커널 함수 호출 과정
How are ntdll.dll and WoW ntdll.dll different? ntdll.dll은 커널 함수가 정의 되어 있는 DLL이다. 유저 모드의 커널 함수들은 syscall을 통해 커널 함수를 호출할 수 있다. 하지만 운영체제(커널)은 64Bit이며 WoW 프로세스는 32Bit로 동작한다. 그렇기에 32Bit 프로세스는 syscall 하기 전 64Bit 모드로 전환할 필요가 있다. 위 이미지와 같이 WoW ntdll.dll의 경우 syscall number를 eax 레지스터에 지정하고 syscall이 아닌 call edx로 어떠한 함수를 호출하는 것을 확인할 수 있다. Which function is invoked using edx register? call edx는 ntdll!Wow64Sy..
Windows/Heaven's Gate (Windows on Windows x64)
2022. 6. 14. 11:09