메모장 입니다2

1.권한 -Windows 보호모드 아키텍쳐에 의해, 접근 권한은 Ring0~ Ring3로 분류된다.>Ring0 ->커널 레벨->커널 드라이버, 운영체제 커널->하드웨어 직접접근이 허용.>Ring1~2-> 사용안함>Ring3 ->유저 레벨->하드웨어 직접접근 불가. -메모리 권한>응용프로그램->커널 영역을 볼 수 없음.->다른 응용프로그램의 메모리를 볼 수 없음(가상메모리, 동일 주소를 사용하기 때문)>커널->다른 커널 영역을 확인가능. 2.콜백함수(Kernel) -운영체제가 특정 조건 때 자동으로 호출해주는 함수. -함수 설명>프로세스>프로세스가 실행, 종료될 때 호출되는 콜백함수 등록/해제.NTSTATUS PsSetCreateProcessNotifyRoutine( IN PCREATE_PROCESS_NO..

1.심볼 파일 -종류>Public Symbol: MS에서 제공하는 심볼 >Private Symbol: 제조사가 제공하는 심볼 -Windbg 설정->심볼 경로 지정`File> Symbol File Path`"C:\sym; srv*c:\sym\websym*http://msdl.microsoft.com/download/symbols" 저장[전체 심볼] [웹에서 받아올 심볼] [URL]->심볼 업데이트windbg 상에서 명령어 입력kd> .reload /a 2.프로세스 전환 -작업중인 프로세스 외에 다른 프로세스의 정보(쓰레드, 콜스텍 등)를 확인할 수 있다. -실습1)프로세스 정보 확인`!process`:현재 active 쓰레드가 속한 프로세스 정보 출력 `!process 0 1`:모든 프로세스 정보 출력 `..

1.서비스 -NT서비스 프로그램으로 불림. -로그인 세션과 무관하게 시스템에서 계속 동작할 수 있음. -일반 응용프로그램과 달리, GUI(Graphic user Interface)를 사용할 수 없음. 2.드라이버 -드라이버도 서비스와 같은 형태로 관리됨. -부팅과정 중 시스템에 자동으로 상주/제거 될 수 있음. -세션과 무관하게 동작. -응용프로그램은 디바이스를 통해서만 디바이스를 인식>응용프로그램이 프린터 드라이버를 통해 프린터와 통신하려는데, 프린터 드라이버가 마우스와 연결되었다고 하더라도 응용프로그램은 알 수 없어 원래 동작 수행 3.레지스트리 값 -HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services>서비스 목록이 나타남. -확인*Start: 드라이버 로드..

0.정의 -드라이버는 두 대상(OS, 프로그램, 장치 등) 간의 통신을 돕는 역할을 한다. -드라이버 종류1)장치(?) 드라이버*응용프로그램(OS 함수 호출) -> OS(드라이버 함수 호출) -> 장치 I/O 2)필터/기능 드라이버>다수의 드라이버가 I/O를 요청할 경우,아래처럼 차례로 스텍에 쌓인다.>마지막 참가자(Driver 3)는 기능드라이버가 되고나머지는 필터드라이버가 된다.>>기능 드라이버: 장치와 직접 통신>>필터 드라이버: 요청을 전달하기만 함,그 외 요청이 제대로 이루어지는지 검사하는 기능도 수행. 3)소프트웨어 드라이버: OS의 핵심 데이터에 접근할 때 사용, 커널모드로 코드가 실행되어 보호된 데이터에 접근 가능. *유저모드에서 실행되는 소프트웨어 드라이버도 있다고 한다.. 4)버스 드라..