1) FS 레지스터를 이용하여 TEB 구조체에 접근한다. ( TEB는 현재 실행되고 있는 Thread에 대한 정보를 가지고 있다. )
2) TEB + 0x30 에 위치한 PEB 구조체에 접근한다. ( PEB 구조체는 실행 중인 프로세스에 대한 정보를 담아두는 구조체이다. )
3) PEB 구조체 내에 0x00c 에 위치한 Ldr 멤버 현재 로드된 DLL 에 대한 정보를 링크드리스트 형태로 가지고 있다.
Windbg 명령어
1) db : Byte 단위로 메모리를 표시
2) dd : double Word 단위로 메모리 표시
3) dt : type을 표시( 구조체 등 )
'0x003 Reversing > 04. Theory' 카테고리의 다른 글
| [Linux] ShellCode 제작 방법 (0) | 2017.12.29 |
|---|---|
| [Tip] IDA Map 연동 (0) | 2017.12.29 |
| [Tip] IoT 펌웨어 분석 환경 구성 (0) | 2017.12.29 |
| [Windows] Hooking Immunity Debugger (0) | 2017.12.29 |