window 쪼물딱 거리기 : about windows handle table

about windows handle table

이 문서는 윈도우즈에서 핸들을 관리하는 방법에 대해 설명하고 있습니다.
작년에 IceSword 분석하다가 삼천포로 빠져서 분석했던 내용입니다.
이제서야 공개하는군요. ㅋㅋ
사실 좀 정리를 하려 했는데 ..역시 귀찮아서 그냥 pdf 로 변환만 했습니다.
_HANDLE_TABLE 구조나 PspCidTable 구조에 대해서 궁금했던 분들은 많은 도움이 될것입니다.

IceSword.
분석보다 언팩하는데 더 많은 삽질을 ..ㅠㅠ
지금은 버전업 되어 기능이 많이 추가된듯 합니다. Rootkit revealer 와 비슷한 구현도 들어가 있고..
아무튼 만든사람이 대단한 사람인건 확실한 것 같습니다.

그러고 보니 문서에 reference 에 대한 언급이 없습니다. -_-;;
원래 외부 공개용으로 만든 문서가 아니라서.. 쿨럭..
windows intenals 를 많이 참고했고, 동경대학교에서 사용했던 교재(사이트 주소는 잘 모르겠습니다. -_-)도 참고했고.
정덕영님 책도 많이 참고했습니다. Futo 라는 rootkit 코드도 참고했습니다.
생각나면 또 적겠습니다. :-)

windows internals 에 나온 내용과 실제 디버깅해서 얻은 결론과 좀 차이가 나는 부분이 좀 있었는데 크게 문제 되지 않으므로 패스~(책이 잘 못된 건지 아니면 서비스팩 때문에 바뀐건지 모르겠습니다)
이걸 통해서 프로세스/스레드 덤프 뜨는 프로그램도 만들었는데.. 그건 공개하기 곤란한 코드부분을 빼고 정리해서 조만간 그녀석도 공개할 예정입니다.

잘못된 점이나 빼먹은 부분이나 제안있으면 언제든 연락주세요 :-)
about windows handle.pdf

# by somma | 2007/01/20 01:13 | 시스템 프로그래밍 | 트랙백(1) | 핑백(1) | 덧글(9)

트랙백 주소 : http://somma.egloos.com/tb/2947301
☞ 내 이글루에 이 글과 관련된 글 쓰기 (트랙백 보내기) [도움말]

Tracked from MalwareLAB at 2009/03/02 14:08

제목 : Windows Handle
윈도우 핸들에 관한 내용입니다. 출처는 소마님의 "Windows 쪼물딱 거리기" 블로그입니다. http://somma.egloos.com/2947301 좀 더 디테일한 분석을 위해서 꼭 필요한 내용인 듯 합니다. 시스템에 대한 전반적인 이해에 도움도 될 것 같구요. 이 자료를 보니 Windows Internals 책을 빨리 사서 봐야겠다는 생각이 듭니다. 오늘 저녁에 서점에 가야할 듯......more

Linked at 빌게이츠가 부를때까지 -_- .. at 2008/05/13 14:20

... 그러했듯이 분명히 이러한 보호 장치를 우회하는 기법이 나올 것이고, 창과 방패의 전쟁은 계속 될 것이다.소마님 자료http://somma.egloos.com/2947301 ... more