'Study/Reversing'에 해당되는 글 4건

  1. 2014.04.09 shl 32bit
  2. 2011.05.17 __ClientLoadLibrary
  3. 2009.01.20 Cheat Engine Tutorial Password List
  4. 2008.09.05 [DDK] - 키보드 입력발생 단계..ScanCode

shl 32bit

Study/Reversing 2014. 4. 9. 23:03

mov eax, ffffffffh

shl eax, 20h

.

eax is ffffffffh...

Posted by hazeyun
,

KernelCallbackTable에 존재하는 __ClientLoadLibrary의 경우
SetWindowsHookEx를 이용한 dll injection시 호출되어지고
내부에서 LoadLibraryExW를 호출하여 dll를 로드하게 되어있다.

SetWindowsHookEx를 통한 dll인젝션 차단의 경우 LoadLibraryExW를 모니터링 하여
user32에서 호출되었는지 확인하는 것으로 차단할 수 있다고
많은 블로그들에 나와있는 이유가 여기에 있다.

Posted by hazeyun
,
step9 - 31337157
Posted by hazeyun
,

키보드 필터 드라이버 작성에 앞서 키보드 인식 과정과 스캔코드를 이해 해야한다.

일단  스캔코드는 http://www.win.tue.nl/~aeb/linux/kbd/scancodes.html#toc10 사이트에 가면 나와있으니 차근차근 살펴 보면 되겠다.

그렇담 키보드 인식과정은 어떻게 진행될까?
일단 유저가 키를 누르게 되면 키보드에서는 전기적 신호가 발생되어 지게 된다.
이 신호가 키보드에서 본체에 연결된 포트를 통해서 본체 내부의 컨트롤러에 가게되고 받은 신호에서 키값을 추출하여 키보드 버퍼에 기록되게 된다.
키보드 버퍼에 값이 입력되면 Interrupt가 발생하고, Interrupt가 발생되면 Interrupt Service Routine(ISR)에 의해 처리가 되고, 드라이버들을 거쳐 어플리케이션에 메시지가 전달 되게 되어있는 구조다!

일단 이런 대략적인 흐름을 이해하게 되면 어디서 부터 치고 들어가야 할 지 서서히 보이게 된다..ㅋㅋ

좀만 기다려라 keyboard야~~ ㅎㅎㅎ

Posted by hazeyun
,