Windows X86 System Call Table - http://j00ru.vexillium.org/ntapi Windows X86-64 System Call Table - http://j00ru.vexillium.org/ntapi_64 Microsoft Windows System Call Table (NT/2000/XP/2003/Vista/2008/7/8/10) j00ru.vexillium.org Microsoft Windows System Call Table (XP/2003/Vista/2008/7/2012/8/10) Windows X86-64 System Call Table (XP/2003/Vista/2008/7/2012/8/10) Author: Mateusz "j00ru" Jurczyk (j0..

(펌 : https://iam-hs.com/161 ) 예제 내용이 너무 좋아서 그냥 복사해놓아요~ 개인적으로 툴 하나 만들면서~ 이것저것 찾아보다가~ 그냥 정리차원에서 한번 올려봅니다. 1. GetModuleFileNameEx - [ PSAPI ] DWORD WINAPI GetModuleFileNameEx( __in HANDLE hProcess, __in HMODULE hModule, __out LPTSTR LpFilename, __in DWORD nSize ); - Windows2000 / WinNT 4.0 이상에서 사용가능. - 프로세스뿐만 아니라 로딩된 모듈의 경로까지 지원하는 범용 함수. - 프로세스 PEB 의 PEB_LDR_DATA 의 리스트를 돌면서 LDR_DATA_TABLE_ENTRY 에 저..

표준IO 내용을 pipe를 통해서 생성한 process와 통신하겠다는 내용인데, pipe를 잘 사용하지 않아서 기록해두면 도움이 될듯 하다. (펌 - 출처 : https://yahon.tistory.com/277 ) 윈도우 콘솔프로그램들의 대부분은 특별한 동작을 위하여 사용되며 대표적인 콘솔 프로그램으로는 ping.exe netstat.exe 등이 해당된다. 윈도우 콘솔 프로그램은 아스키코드를 기반으로 사용자에게 정보를 출력해준다. 이러한 콘솔 기반 프로그램의 입출력을 제어하여 이용자가 보이지 않게끔 프로그램을 실행하고 결과를 받는 방법을 소개한다. 먼저 윈도우 표준 입출력을 위한 파이프의 개념부터 알아보자. 파이프는 리눅스에도 존재하는 개념으로 리눅스에서는 IPC(InterProcess Communic..

Getting the Logon SID in C++ (Windows) Getting the Logon SID in C++ 11/17/2013 2 minutes to read In this article --> A logon security identifier (SID) identifies the logon session associated with an access token. A typical use of a logon SID is in an ACE that allows access for the duration of a docs.microsoft.com https://docs.microsoft.com/en-us/previous-versions//aa379608(v=vs.85) Starting an I..

대략적인 정보만 알고 있었는데, 이번에 확실히 파악하게 됐네요. Vista 이후 OS부터는 다 적용된다고 하니, Windows 7 / 10 만 넘치는 지금 환경에서는 ~ 100% 적용되는 내용들입니다. 아무래도 가장 중요한 부분은 Session 0에서 실행되는 process에서 UI 가 있는 process를 어떻게 처리할 것인지 이네요 https://securityfactory.tistory.com/95 [개념 이해] 윈도우 세션, 윈도우 스테이션, 윈도우 데스크탑 윈도우 스테이션에 대한 공부가 필요해서 자료를 찾아보다가 정리가 잘되어 있는 블로그를 찾았습니다. 글을 올리신 분도 다른 분의 원문을 번역해서 올렸는데 여기에서 제가 필요한 정보만 가져와서 조금 수정해.. securityfactory.tist..

경험한 내용 위주로 적어 놓습니다. Service로 동작하는 (session : 0, intelgrity : System, User Name : NT AUTHORITY\SYSTEM) Program(A)이 있는데 UI 가 있는 (session : 2, intelgrity : Medium, User Name : NT AUTHORITY\유져) 인 Process(B) 를 생성한다. (processtoken / CreateProcessAsUser 사용) B가 동작한 결과를 A에게 알려줘야 한다. 별생각 없이 공유 메모리로 A가 만들고 B가 거기에 써주면 될거 같았다. 안된다. 그럼 B가 만들고 쓰고, A가 보기만 하면 되니까 하고 해보니, "Global\\" 이걸 Medium에서는 만들수가 없다. 공유 메모리는 ..