본문 바로가기
반응형

Security/Windows System26

Kernel API Prefix Windows Kernel API는 대부분 접두어를 가지며 이를 통하여 쉽게 함수 해석이 가능하다. Prefix Kernel Component Ex general executive functions Ke general kernel functions Mm memory manager Rtl general runtime library FsRtl file system runtime library Flt file system mini-filter library Ob ojbect manager Se security Ps Process structure Po Power manager Wmi Windows management instrumentation Zw native API wrappers Hal hardware .. 2020. 5. 28.
Windows on Windows 64 : x64시스템에서 x86 프로그램 시스템 콜 주변에서 이전에 우연히 x64시스템에서 x86 API호출 과정에 대해 이야기가 나왔고 한번 찾아봐야지 하다가 이제야 작성하게 됐다. 먼저 Windows on Windows64 (일명 WoW64)는 쉽게 말해 x64시스템에서 x86프로그램을 실행시키기 위해 개발된 방법이다. 기본 x86시스템에서는 기본 자료처리를 4바이트로 하지만 x64경우 기본 8바이트 자료처리를 하기 때문에 실행을 위해이에 대한 호환이 필요하다. 따라서 본 글에서는 해당 과정에 대해서 확인하고자 한다. 테스트 환경은 Windows 10 x64 ver.1803에서 실행되었으며 x86으로 빌드된 프로그램은 파라미터로 받은 프로세스를 실행시키는 방식(CreateProcessA)으로 진행하였다. 먼저, x86과 동일하게 KERNELBASE!C.. 2020. 5. 28.
NT / Zw Native API 차이 예전에 한번 블로그에서 다루기도 했었지만 다시보니 글이 엉망인 것 같아 다시 정리하게 되었다. (참고 : https://sone.tistory.com/235 ) 먼저 MSDN에서 Nt와 Zw에 대한 차이를 다루는지 보면 다음과 같습니다. For system calls from user mode, the Nt and Zw versions of a routine behave identically. For calls from a kernel-mode driver, the Nt and Zw versions of a routine differ in how they handle the parameter values that the caller passes to the routine. 요약하면 유저레벨에서는 Nt와 .. 2019. 4. 5.
I/O Control Code를 정의하는 CTL_CODE DeviceIoControl을 만지작 거리며 알게 된 매크로 함수 CTL_CODE에 대해 정리하고자 한다.일단 간단하게 IO CTL Code정의방법에 대해 설명한다. #define IOCTL_Device_Function CTL_CODE(DeviceType, FunctionCode, Method, Access)- DeviceType : 디바이스타입(사운드, 마우스 등)을 의미.- Function Code : ControlCode를 구분할 코드. 0x800이하는 msdn예약 영역이기때문에 그 이상을 사용 해야 함.- Method : Buffer입출력 방법() - 2018. 7. 31.
반응형