■ 윈도우 커널 메모리 주소 공간의 전형적인 레이아웃

● 커널 메모리 공간
  - 커널을 위해서는 2GB가 예약됨
  - 커널 자체의 코드뿐만 아니라 디바이스 드라이버와 같은 커널 컴포넌트들의 코드가 모두 포한됨

● Paged Pool과 Non-Paged Pool
  - paged pool과 nonpaged pool은 모든 커널 컴포넌트에 의해서 사용되는 커널 모드 힙(Heap)메모리(커널 모드 코드만 접근 가능)

● 시스템 캐시
  - 윈도우의 캐시 관리자가 현재의 모든 캐시 마핑릉 매핑하는 공간
  - 캐싱은 파일을 메모리에 매핑함으로서 이루어지며, 메모리 관리자가 각 파일 매핑에 할당된 물리 메모리의 용약을 관리함

● 터미널 서비스 세션 공간
  - Win32 서브시스템의 커널 모드 컴포넌트가 이 메모리 공간 사용
  - 터미널 서비스 컴포넌트 : 하나의 윈도우 시스템에 여러개의 원격 GUI세션이 가능함
  - session Private라는 Win32 메모리 공간을 만들어서 시스템이 Win32서브시스템 인스턴스를 다중으로 로드할 수 있게 함

● 페이지 테이블과 하이퍼 공간
  - 페이지 테이블 공간 : 현재 활성화된 페이지 테이블이 가상 메모리에 매핑된 공간
  - 하이퍼 공간 : 주로 현재 프로세스의 워킹 셋에 대한 매핑 공간

● 시스템 워킹 셋
  - 시스템 워킹 셋 : 시스템의 물리 메모리(단, 페이징이 가능한 메모리만)를 관리하는 시스템 전역 데이터 구조체
  - 현재 사용되고 있는 페이지 현황 파악
  - 이 데이터 구조체가 관리하는 가장 큰 메모리 역역 은 Paged Pool과 시스템영역

● 시스템 페이지 테이블 엔트리(PTE)
  - 큰 커널 메모리 할당에 사용됨
  - 커널 과 드라이버가 큰 용량의 가상 메모리 공간이 필요할 때 사용되는 가상 메모리 공간(힙 아님)
  - 디바이스 드라이버 실행 코드를 매핑(MmAllocateMappingAddress커널 API 사용)
  - 커널 스택을 저장






저작자표시

'Security > Reverse Engineering' 카테고리의 다른 글

[Reversing]프로세스와 쓰레드  (0) 2010.05.04
[Reversing]네임드 객체  (0) 2010.05.03
[Reversing]객체와 핸들  (0) 2010.05.03
[Reversing]색션 객체, VAD트리, User mode Mem, Mem 관리 API  (0) 2010.04.29
[Reversing]compiler, JavaVM, Mem Structure  (0) 2010.04.22

■compiler : 소스파일을 이용해서 그에 대응되는 기계어 코드 파일을 만들어 냄. 플랫폼에 종속적임

C, C++ → 컴파일러 → 목적코드

 

목적코드 : 인간보다 기계가 이해하기 쉽다. 역으로 말하면 인간이 읽고 이해하기 힘들다.

 

Java Virtual machine : java와 같은 하이레벨 언어는 목적코드 대신에 바이트코드를 생성함. 이 바이트 코드를 해석해서 의미대로 작업을 수행함.(어느 시점에서는 바이트 코드를 CPU가 실행할 수 있는 목적코드로 변환해야 함)(플랫폼에 종속적이지 않다.)

 Java compiler → bytecode → virtual machine → object code → CPU


■원시소스가 exe실행 파일이 되는 과정



 ■메모리 구조와 각 영역의 역할

저작자표시

'Security > Reverse Engineering' 카테고리의 다른 글

[Reversing]프로세스와 쓰레드  (0) 2010.05.04
[Reversing]네임드 객체  (0) 2010.05.03
[Reversing]객체와 핸들  (0) 2010.05.03
[Reversing]색션 객체, VAD트리, User mode Mem, Mem 관리 API  (0) 2010.04.29
[Reversing]윈도우 커널 메모리 주소 공간  (0) 2010.04.25
우리나라에서 처음으로 스마트폰 악성코드가 발견되었다. 
인터넷망에 모바일단말을 개방한것은 이통사나 단말업체에서만 서비스가 가능했던 틀을 깨는 것으로 많은 부분에서 이익이 발생할 것이다.(반대로 기존 이통사는 이익이 감소할 수도..)
하지만 망개방은 결국 인터넷망의 연결과 같으므로 기존의 보안위협에 그대로 노출될 것이다. 이로인해 점점 더 많은 피해가 발생할 것으로 예상이 된다.
 
2010년은 확실히 스마트폰이 강세인 듯 하다. 나도 빨리 스마트폰 장만해야 욀텐데..이넘에 약정이ㅠㅠ
출처 : 이데일리 
        http://www.edaily.co.kr/news/NewsRead.edy?SCD=DC16&newsid=01879446592938744&DCD=A00202&OutLnkChk=Y
[기사내용]
안硏 "윈도우 모바일기반 스마트폰서 악성코드 발생"
최근 윈도우 모바일 기반 스마트폰용 악성코드 `트레드다이얼(TredDial)`이 등장해 국내에서 피해가 발생했다고 22일 발표했다.

이 악성코드는 사용자 몰래 스마트폰에서 50초마다 국제전화 번호로 전화를 건다. 지난 13일 첫 발견된 후 19일 변종이 추가 발견됐다.

삼성전자 옴니아를 포함해 윈도우 모바일 운영체제(OS)를 탑재한 스마트폰에서 작동한다. 모바일게임 `3D 안티 테러리스트 액션`과 동영상 관련 유틸리티 `코덱팩(codecpack)`에 포함돼 배포된 것으로 알려졌다.

현재까지 확인된 번호는 6개로 음성과 데이터 서비스, 퀴즈쇼, 투표 등에 사용되는 번호로 분 단위로 과금을 한다. 




저작자표시

'Security > Security News' 카테고리의 다른 글

[중앙일보]미, e-메일로 부재자 투표  (0) 2010.05.11
[연합뉴스]美조폐국 웹사이트 해킹으로 폐쇄  (0) 2010.05.06
[디지털데일리]VoIP 해킹 위협이 현실로…1억원 전화요금 고지 피해  (0) 2010.05.03
[보드나라]국내 안드로이드폰 악성코드 발견되다  (0) 2010.05.03
[지디넷코리아]2010.4.12-게임 이용자 개인정보…정부가 모두 가져간다  (0) 2010.04.19

+ Recent posts

티스토리툴바