컨텐츠 바로가기

about windows handle table

http://somma.egloos.com/2947301

이 문서는 윈도우즈에서 핸들을 관리하는 방법에 대해 설명하고 있습니다.
작년에 IceSword 분석하다가 삼천포로 빠져서 분석했던 내용입니다.
이제서야 공개하는군요. ㅋㅋ
사실 좀 정리를 하려 했는데 ..역시 귀찮아서 그냥 pdf 로 변환만 했습니다.
_HANDLE_TABLE 구조나 PspCidTable 구조에 대해서 궁금했던 분들은 많은 도움이 될것입니다.

IceSword.
분석보다 언팩하는데 더 많은 삽질을 ..ㅠㅠ
지금은 버전업 되어 기능이 많이 추가된듯 합니다. Rootkit revealer 와 비슷한 구현도 들어가 있고..
아무튼 만든사람이 대단한 사람인건 확실한 것 같습니다.

그러고 보니 문서에 reference 에 대한 언급이 없습니다. -_-;;
원래 외부 공개용으로 만든 문서가 아니라서.. 쿨럭..
windows intenals 를 많이 참고했고, 동경대학교에서 사용했던 교재(사이트 주소는 잘 모르겠습니다. -_-)도 참고했고.
정덕영님 책도 많이 참고했습니다. Futo 라는 rootkit 코드도 참고했습니다.
생각나면 또 적겠습니다. :-)

windows internals 에 나온 내용과 실제 디버깅해서 얻은 결론과 좀 차이가 나는 부분이 좀 있었는데 크게 문제 되지 않으므로 패스~(책이 잘 못된 건지 아니면 서비스팩 때문에 바뀐건지 모르겠습니다)
이걸 통해서 프로세스/스레드 덤프 뜨는 프로그램도 만들었는데.. 그건 공개하기 곤란한 코드부분을 빼고 정리해서 조만간 그녀석도 공개할 예정입니다.

잘못된 점이나 빼먹은 부분이나 제안있으면 언제든 연락주세요 :-)
about windows handle.pdf

트랙백

덧글|덧글 쓰기|신고