Dakuo’s Lecture.

Slides:

Advertisements

Similar presentations

ITQ 시험 가이드 2005 년 신 출제기준에 따른 한국생산성본부 검정사업센터. ITQ 시험 가이드 2 목차 개요 개요 ITQ 시험과목 및 선택 S/W ITQ 시험과목 및 선택 S/W ITQ 시험 과목별 가이드 ITQ 시험 과목별 가이드 아래한글 /MS 워드 아래한글.

Advertisements

5 조 - 음악학과 이수영 5 조 - 음악학과 이수영 사회복지학과 김원미 사회복지학과 김원미 신민지 신민지 이정원

㈜ 금산산업 회사 소개서. 회사 소개 회사 개요 회사 연혁 공장약도 제품 소개 원료 관리 필렛 작업 염 ( 소금 ) 침지 공정 급속동결 및 진공 포장 거래처 LIST 거래처별 매출 실적 공장사진 목 차.

전산시스템 시스템 이용안내 메인 페이지 회원가입 원격시스템. 전산시스템 시스템 이용안내 회원가입 ※ 중요한 정보 : 검사진행문자, 인증키 발송 등.

일본주식시장의 신 고레가와긴조 투자전략 6 조 안승권. 신문수 발표자 : 신 문 수. 출 생 : 1897 효고현에서 출생 학 력 : 초등학교졸업, 사업가 1992 년 95 세 사망 유일한 자서전 1981 년 스미토모 금속광산 주식매매 200 억엔 벌다⇒ 일본 소득세 납세.

구조체 : Structure 와 포인터 2. 집합적 변수 생성 가능 structure_declaration ::= struct_specifier declarator_list ; struct_specifier ::= struct tag_name | struct tag_name.

Windows 디바이스 드라이버 Update 정 우식 개발부장 ㈜열린기술 내용  드라이버 개발자 입장에서 본 XP  XP DDK Update  64- 비트 이슈  디바이스 설치  USB 드라이버 스택  디버깅 및 기타 도구들.

J-Stream part1 (Software streaming service) ▪ 팀명 : Jukdori ▪ 팀원 : 16 th 윤병호 (PL) 15 th 송인규 16 th 김영진.

Couple Tetris 제안서 맨땅에해딩 (GNU-A3) 06 안대웅, 06 박순응. CONTENTS 1. 프로젝트 정의 및 목적 2. 프로젝트 결과물의 개요 2.1. 프로젝트 결과물의 구조도 2.2. 프로젝트 결과물의 흐름도 2.3. 프로젝트 결과물의 그림 2.4.

능력중심사회 구현을 위한. Contents 사업개요 01 지원내용 02 운영현황

2009개정 중등 국어과 교육과정 울산광역시교육청 교육과정 컨설팅단 : 정일진.

IT 패러다임을 바꾼 디지털 리더 한국대학생IT경영학회 교육팀 차헌영 가장 성공한 IT기업은?

달라지는 노동법 개정 내용 노무법인 正道 잠시나마… 주요 노동관계법 개정내용 3. 마무리 Contents

경남이의 백제역사문화탐방 진주시청소년수련관.

서울시 ‘찾아가는 동 주민센터’ 사업 시행 이후 지역사회의 변화

Contents 인지세법 개정내용 인지세 적용매입계약Process 수입인지 구매방법 및 증빙방법 - 전자수입인지

도서관 무선네트워크 사용법 (XP, VISTA)

But, 성공하려면 과정이 필요합니다. 목표달성을 위해 정해진 기간이 필요~! 어떤 노력을 기울여야 할가요~?

2016학년도 2학기 수강바구니(수강신청) 안내 매뉴얼

2016학년도 1학기 수강바구니(수강신청) 안내 매뉴얼

교육 PROCESS 제일엠앤이주식회사.

CHAP 6:큐 C로 쉽게 풀어쓴 자료구조 생능출판사 2005.

1장 Visual Basic 2010 시작 1.1 프로그램에 대한 기초 1.2 Visual Basic 버전

8. 객체와 클래스 (기본).

구조체 struct 구조체와 함수 구조체의 배열, sizeof 연산자 열거형 enum 형 정의 typedef

Chapter 11. Raw 소켓.

OpenGL Project (3D 움직이는 자동차)

3장. 소켓 주소 구조체 다루기 소켓 주소 구조체의 정의와 초기화 방법을 익힌다.

head data link data link data link NULL a b c

CHAP 6:큐 C로 쉽게 풀어쓴 자료구조 생능출판사 2005.

D4-1 1호. 정다면체와 플라톤의 입체 페이지 정답 및 설명 커지는 생각P8 쑥쑥 1 P9~12 P9

openGL Project 결과보고서 야구 시구 시뮬레이션

Chapter 12. 직렬 통신과 무선 프로토콜.

인터넷 웹구축 7조 제안서 조장 : 임동진( ) 조원 : 임효종( ) 한상길( )

AutoBase OPC 서버 원격 연결 설정 방법

제2장 프로세스 이나현.

openGL Project 제안서 비 오는 정류장에서

해양생태계 이상현상 대응관리 남이현.

프로세스와 쓰레드 프로세스와 쓰레드 및 SEH.

Real-time Tactics Game

보상사업 제안서 반룡일반산업단지 사업시행자 성창아이엔디㈜ 대표 정연교님 귀하 주 식 회 사 한 국 보 상 원.

컴퓨터의 기초 제 2강 - 변수와 자료형 , 연산자 2006년 3월 27일.

리눅스: Lecture 1 강의개요 중앙대학교 컴퓨터공학부 손 봉 수 교수.

Access Grid Environment Construction

Operating System 10주차 - IPC(InterProcess Communication) -

3장. 변수와 연산자. 3장. 변수와 연산자 3-1 연산자, 덧셈 연산자 연산자란 무엇인가? 연산을 요구할 때 사용되는 기호 ex : +, -, *, / 3-1 연산자, 덧셈 연산자 연산자란 무엇인가? 연산을 요구할 때 사용되는 기호 ex : +, -, *, /

2019학년도 1학기 수강바구니(수강신청) 안내 매뉴얼

Byte Alignment ㈜ 웰컴정보시스템 김 정 은.

비즈니스 매너 1 -만남의 기술- Success partner 이채연.

LG전자의 경영혁신 SUPER A 박인지 현소영.

Lecture 7 복잡한 구조 프로그래밍 프로그램 짤 때의 마음가짐 invariant list set

Ⅶ. 명함관리 1. 초기 화면 설명 2. 명함 분류 관리 3. 명함 이동,공유,복사 4. 명함 등록, 수정 5. 상세검색 6.

북한 이탈 주민 실태와 문제점 Part 0 탈북자 인권 현대 사회 인권 조선해양 공학부 정세용

리더십과 인재의 고용 성인문 허세호 김한응.

CONTENTS Ⅰ. 대회목적 Ⅱ. 대회개요 Ⅲ. 대회요강 Ⅳ. 대회규정 Ⅴ. 운영계획 Ⅵ. 홍보계획 Ⅶ. 예산계획.

사업계획서 작성 이중언어세미나.

1장 Visual Basic 2010 시작 1.1 프로그램에 대한 기초 1.2 Visual Basic 버전

컴퓨터 프로그래밍 기초 - 11th : 파일 입출력 및 구조체 -

01. ‘한글뷰어’ 설치 전 준비사항.

전류는 자계에서 힘을 받는다 기계공학교육 박지훈 황인석 한만혁 이덕균.

재외선거와 현지언론의 역할

Final Team Project 이 종철 김 용환

포이에마장애인보호작업장 시설소개서.

房思琪的初恋乐园 ‘팡쓰치’로 보는 문학의 힘 정은비.

박 현 미 울산여자상업고등학교 창업포스터 만들며 포토샵과 친해지기 박 현 미 울산여자상업고등학교.

大鵬(대붕) 김 시 습 국어국문학과 이준석.

2009개정 중등 국어과 교육과정.

●▲■등의 굿 디자인 고연정.

Presentation transcript:

Dakuo’s Lecture

EPROCESS Struct 를 이용한 Process Hide 김종민(dakuo) / 회장 hkdakuo@gmail.com

Contents Ⅰ. Idea Ⅱ. EPROCESS Struct Ⅲ. Source Ⅳ. Execute

Ⅰ. Idea 프로세스 목록확인 : taskmgr (작업관리자) 프로세스 목록에서 타겟 프로세스를 지운다. Windows는 프로세스 구조체로 프로세스를 관리 (EPROCESS Struct) 프로세스들은 Double Linked List 로 이루어짐 타겟 프로세스의 리스트를 연결에서 끊는다. Hide Success

Ⅰ. Idea

Ⅰ. Idea

Ⅰ. Idea

Ⅱ. EPROCESS Struct EPROCESS Struct Windows 에서는 EPROCESS 구조체를 사용하여 프로세스를 표현 프로세스 관리에 유용한 멤버 변수를 포함 Kernel 영역에 존재 WinDbg 에서 dt _eprocess 명령으로 확인 가능

Ⅱ. EPROCESS Struct

Ⅱ. EPROCESS Struct typedef struct _EPROCESS { KPROCESS Pcb; EX_PUSH_LOCK ProcessLock; LARGE_INTEGER CreateTime; LARGE_INTEGER ExitTime; EX_RUNDOWN_REF RundownProtect; PVOID UniqueProcessId; LIST_ENTRY ActiveProcessLinks; // 프로세스 앞, 뒤에 연결된 프로세스 리스트 주소 // Flink : 다음 프로세스 리스트 주소 // Blink : 이전 프로세스 리스트 주소 ULONG QuotaUsage[3]; ……………….. ALPC_PROCESS_CONTEXT AlpcContext; } EPROCESS, *PEPROCESS;

Ⅱ. EPROCESS Struct

Ⅱ. EPROCESS Struct Procexp.exe ps_hide.exe notepad.exe

Ⅲ. Source 소스의 흐름 현재 프로세스 목록을 출력 숨기고 싶은 프로세스의 PID 를 입력 OpenProcess() 로 해당 프로세스 오픈 ZwQuerySystemInformation() 으로 EPROCESS 구조체 주소 값 획득 AdjustTokenPrivileges() 으로 가상 메모리 R/W 권한 획득 ZwSystemDebugControl() 으로 Flink, Blink 값 변경

Ⅲ. Source

Ⅲ. Source Struct OpenProcess() ZwQuerySystemInformation() 소스의 구성 Struct OpenProcess() ZwQuerySystemInformation() AdjustTokenPrivileges() ZwSystemDebugControl()

1. Struct

2. OpenProcess() 프로세스를 열어야만 프로세스 핸들이 시스템에 로드된다. OpenProcess( DWORD dwDesiredAccess, // access flag BOOL bInheritHandle, // handle inheritance flag DWORD dwProcessId // Process identifier ); OpenProcess(PROCESS_QUERY_INFORMATION, 0, dwProcessId);

3. ZwQuerySystemInformation() 시스템에 로드된 모든 핸들의 정보를 조사하여 EPROCESS 구조체의 주소를 얻는다.

3. ZwQuerySystemInformation()

4. AdjustTokenPrivileges() 가상 메모리에 R/W 할 수 있는 권한을 얻는다.

5. ZwSystemDebugControl() 가상 메모리에 접근하여 값을 변경한다.

5. ZwSystemDebugControl()

6. Final Flink, Blink 값 변경.

Ⅳ. Execute

Ⅳ. Execute

Ⅳ. Execute

Ⅳ. Execute

+ Bonus 마찬가지 방법으로 숨겼던 프로세스를 보이게 할 수 있다.

+ Bonus

+ Bonus

+ Bonus

Environment 본 문서는 XP 환경에서 작성하였습니다. 문서작성일 : 2011. 1. 02