13 Security Lab

REF. http://www.experts-exchange.com/Programming/Microsoft_Development/A_3216-Fast-Base64-Encode-and-Decode.html Windows CryptoAPI: CryptBinaryToString and CryptStringToBinary The Windows CryptoAPI provides a set of general-purpose functions (CryptBinaryToString and CryptStringToBinary) that support base64 encoding and decoding. The following is a pair of functions that wrap that API: #include #..

e.g.HKU\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ParseAutoexec "1" Windows NT parses the AUTOEXEC.BAT file during startup by default, which results in the appending of the path statement in the AUTOEXEC.BAT file to the system path created by Windows NT. You can modify the system path and evironment variable at Control Panel/System/EnvironmentTab. You can configure parsing o..

원출처 : http://yeoungpc.tistory.com/18 [탐색기 폴더 옵션의 파일 숨김 속성] HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue [파일의 속성 부분에서 체크박스 활성/비활성] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Adva..

출처 : https://code.google.com/p/corkami/wiki/PE101

User Account Control (UAC) is a security enhancement in Windows introduced in Vista.It makes applications that run by administrators, by default, only have access to what limited users would have access to. Another way to say this is that applications run at medium integrity level by default.If an application needs more privileges, it need to request it, and Windows will show a UAC dialog. If yo..

http://msdn.microsoft.com/en-us/library/windows/desktop/aa365531(v=vs.85).aspx Do refer MSDN, It's enough to understand. "It works only when you got handle using CreateFile()" typedef uint64_t fsize_t; int file_resize(const char* path, fsize_t newsize) { HANDLE hFile = CreateFile(path, GENERIC_WRITE, 0, NULL, OPEN_ALWAYS, 0, NULL); if (hFile == INVALID_HANDLE_VALUE) return -1; LARGE_INTEGER liDi..

간단한 윈도우즈 핸들의 이해 응용프로그램을 사용하고 제어함에 있어서 윈도우즈는 핸들이라는 개념을 사용하는데, 단순한 응용프로그램에 대한 제어를 포함하여, 윈도우즈와 통신하기 위해 핸들을 사용한다. 핸들은 '티켓'이라고 생각하면 쉬운데, User가 커널을 제어할 수 없기 때문에 커널에 "나는 누구이고, ~를 하겠다"는 이미 약속된 티켓을 갖고있다가 API 호출시 그 티켓과 함께 파라미터를 함께 넘김으로서 커널로 부터 원하는 수행결과를 얻을 수 있는 것이다. + 핸들을 얻는 함수가 다르면 그 핸들의 성격도 다르므로 혼용해서는 안된다.(e.g. CreateFile()로 부터 얻는 파일핸들과 fopen()으로 얻는 파일 핸들이 다른데, CreateFile()과 한 세트인 파일 입출력 관련 Winapi 함수를 f..

코드의 흐름을 파악하기 어렵거나, 프로그램이 죽는 위치를 찾기 어려울때 #define DBG_CHECK printf("(%s:%s:%d)n",__FILE__,__FUNCTION__,__LINE__); int main() { DBG_CHECK; return 0; } DBG_CHECK가 위치하는 파일,함수명,라인번호의 정보가 화면에 출력

Symbols for Kernel Debugging Symbol files contain the names of functions and variables and the layout and format of data structures.They are generated by the linker and used by debuggers to reference and display these names during a debug session. This information is not usually stored in the binary image because it isnot needed to execute the code. This means that binaries are smaller and faste..

※ 높은권한 = ring level 0 : kernel level privilege, 낮은권한 = ring level 3 : user level privilege RPL은 높은권한의 코드가 낮은권한의 프로세스의 요청을 처리할때 DS, ES SS, FS GS 레지스터들의 마지막 두비트. RPL 필드는 CPL를 강화(보완)하기 위해 사용된다 높은 권한을 가진 디바이스 드라이버가 (디스크에서 직접적으로 낮은권한프로세스의 데이터세그먼트로 데이터를 복사할 수 있는) 이런 메카니즘을 지원한다고 가정하면, 낮은권한의프로세스들은 그것들의 디바이스드라이버로의 데이터세그먼트 사양(셀렉터, 복사하기위한 주소와 데이터의 크기)을 패스해야 한다. 조건을 만족시키면 디바이스드라이버는 적절한 위치로 데이터를 복사할 수있다 디바이스..