WinDbg – Windows XP 2/2 (작업관리자에서 notepad.exe 프로세스 숨기기)Posted on 2017년 9월 7일 by 2u110per작업관리자에서 notepad.exe 프로세스 숨기기notepad.exe를 실행 후 작업관리자로 확인– [dt _EPROCESS (notepad.exe의 Address)] 명령어를 실행 후 ActiveProcessLinks를 확인한다.ActiveProcessLinks– ActiveProcessLinks는 양 옆의 프로세스의 ActiveProcessLinks를 가르키를 연결리스트를 가지고 있다.– 간단히 보면 아래와 같이 설명할 수 있다.– 위 구조에서 프로세스를 숨기기 위해서는 아래 그림과 같이 구성되어야 한다. 즉 notepad.exe 프로세스를 제외..

WinDbg – Windows XP 1/2 (notepad.exe DLL 확인)Posted on 2017년 9월 7일 by 2u110perWinDbgWinDbg를 이용하여 Windows XP의 notepad.exe DLL정보 확인과 PED에 로딩된 DLL정보 확인WinDbg Download : Download Pagenotepad.exe를 대상으로 실습해보았다.실습환경 : Windows XP 32bit (Vmware)실습대상 : notepad.exe1. Vmware에서 SeialPort 추가 후 User named pipe에 ” \\.\pipe\COM_1 ” 입력2. Windows XP에서 실행 – .\boot.ini 열람 후 아래 그림과 같이 한줄을 추가한다.3. 로컬에서 WinDbg를 실행 후 Fil..