ブックマークしました ここにツイート内容が記載されます https://b.hatena.ne.jp/URLはspanで囲んでください Twitterで共有
(12/05)追記したら記事の方向性がわかりやすくなったのでタイトルも変えた(笑 UserDebuggerHotKey GUIアプリケーションに対してデバッガがアタッチしているとき、このレジストリキーで設定されたキーを押すと、ブレークが発生しデバッグすることができようになる。環境によってはできないこともあるみたい? .ocommand (WinDbg) WinDbg上でプロセスにアタッチする .ocommand メタコマンドを実行する 以後 OutputDebugString のプレフィックスに がついているものは 以降がWinDbgコマンドとして解釈される 残念ながら、カーネルランドでは利用できない。 指定したプロセスの起動を置き換える(MSDN) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
プログラムのエントリーポイントは、main関数ではなく、PE内に定義されたアドレスであることはよく知られているが、それより以前にコード実行できるTLS Callbacksという仕組みはあまり知られていない。 TLS CallbacksはPE内に適切にセクションとディレクトリテーブルを作り、そのテーブルにコールバック関数のアドレスを設定しておくと、イメージローダー(ntdll.dll)によるプロセス初期化処理中に、その関数が実行されるという仕組みである。 この関数の呼び出しをブレークするのは、PEを解析して手動でブレークを置いたり、対応しているデバッガ(OllyDbg 2.0)でブレークをかけたりなどの方法があるが、呼び出しのシーケンスを把握しておいた方が、いざというとき小回りが利くので調べてみた。 調査には、このコードを使用した。このソースには以下の関数呼び出しが含まれている。 C++グロ
というわけで行ってきましたセキュリティ&プログラミングキャンプ2009! リンク先には速報レポートも上がってます。 が、閉校式で「帰ってblog書くまでがキャンプです!」とか言われたのでblog書きますw 本当に楽しい(interesting/fun両方)5日間でした。ここでしか出来ないような体験がたくさんできました。 セキュリティについての知識がついたのは間違いないです。流れるパケットを解析したり、HDDイメージの解析をしたり、マルウェアのバイナリ解析をしたり、ハニーポットにかかったクラッカーさんの挙動を探ったりと多くの講義を聞いたり実習をしたんですが、防御する側としても攻撃する側としても、些細な情報をたどることで大きな情報を得られるんだなぁーと感じました。 一番興味を持っていたのはマルウェアのバイナリ解析ですが、やっぱり相当難しかったです。アセンブリ読むのは大変でした。頭が爆発しそうに
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く