너무 포스팅이 뜸한듯 하여.. (아무도 강요하지 않지만) 그닥 도움 안되는 잡다구리한 내용이라도 끄적여 봅니다. 헤헤~

버퍼오퍼플로우 공격등에 당하지 않기 위해 포인터 인코딩이라는 방법을 이용하고는 합니다.
비스타에는 long-lived pointer 에 대해 포인터 인코딩을 이미 사용중이라고 하더군요. (확인은 못해봤습니다만...)
구현을 할까 하다가 혹시나 해서 MSDN 에 찾아봤더니 함수로 존재하더군요. 흐.. 역시 MSDN 엔 별게 다 있어요. ^^
MS 에서는 포인터 인코딩을 어떻게 구현했을까나 하는 생각에 좀 살펴봤습니다.



이 함수들은 kernel32.dll 에 구현되어있는데 코드를 디스어셈블해서 보면 En/DecodeSystemPointer() 함수의 경우 시스템 전역적으로 고정적인 값으로 포인터를 XOR 하지만 En/DecodePointer() 함수는 프로세스마다 다른 값을 통해 XOR 을 합니다.
MSDN 에도 나와있듯이 En/DecodePointer() 가 비교적 더 안전하다고 볼 수 있겠죠. (포인터 인코딩 자체에 대해서 부정적인 생각을 가진분들은 빼고요. ^^)

호출 흐름은 kernel32.dll::EncodePointer() -> ntdll:RtlEncodePointer() 입니다.



RtlEncodePointer() 함수는 ZwQueryInformationProcess() 함수를 통해 얻는 4바이트 짜리값을 통해 XOR 을 하는 매우 간단한 코드이군요. ZwQueryInformationProcess() 를 호출하는 것으로 보아 프로세스에 의존적인 값을 이용한다는 것을 짐작할 수 있겠군요.




(WinDbg 의 scratch pad 에서 복사해서 붙이려는데 지저분하게 붙어서.. -_-;; 앞부분만 이미지 캡쳐로.. ㅋㅋ)

결국 위의 코드는 NtQueryInformationProcess() 를 호출하게 되겠죠.
NtQueryInformationProcess()를 리버싱해보면 현재 프로세스의 EPROCESS::Cookie 값이 없는 경우 현재 시간값을 구하고, 뭔가 다른 필드들과 xor 연산을 통해 유니크한 값을 만들어 내어 Cookie 값을 생성해서 세팅하고, 리턴을 합니다.

물론 Cookie 가 이미 만들어져 있는 경우는 그냥 리턴하는 것이죠.
즉 EPROCESS::Cookie 값은 프로세스에 고유한 값이 필요할때 쓰이는 값이란 것입니다. :-)


결론:
  EncodePointer(), DecodePointer() 함수는 진짜로 (거짓말 아니고-_-) 프로세스에 유니크한 값을 통해 포인터를 뭉개준다!!
  EPROCESS::Cookie 값은 프로세스에 유니크한 값이 필요할때 가져다 쓸 수 있다!!