I.A.P

윈도우가 가장 많이 취약점이 발견 되었다.

윈도우 CVE 발생 순서

1. 코드실행
2. 서비스 거부
3. 버퍼오버플로우
4. 메모리 부패
5. 권한 상승

윈도우 커널만 두고 본다면 권한 상승이 가장 많다.
win32k.sys가 대부분인 것을 볼 수 있다.

동적분석은 코드 커버리지를 높이기 위한 목적으로 많이 사용된다.

동적 심볼릭 수행과 심볼릭 수행의 차이점(?)

심볼릭 수행은 x,y로 기호로 대체해서 실행하는 방식으로 조건문마다 경로가 전부 갈 수 있다고 가정하고 시작한다.

동적 심볼릭 수행은 심볼릭 수행 + 콘크리트 수행의 결합이라고 보면 된다.
실제값과 심볼릭 기호를 적절히 섞음으로서 코드 커버리지와 속도를 둘 다 잡으려는 시도라고 보면 된다.

taint 분석은 오염분석으로 입력값이 어느 메모리 영역까지 영향을 미치는지 연구하는 것이라고 보면된다.
특권 계층의 메모리까지 영향을 미친다면 이는 취약성 가능성이 있다고 볼 수 있는 것이다.

퀀텀이란 ?

우선순위가 같은 스레드가 실행되기를 기다리고 있는지를 확인할 때까지의 주어진 시간

쉽게 말해서 기다리고 있는 애가 있을 때 얼마만큼 실행하는지에대한 시간을 의미한다.

sysinternal 툴 중에서 clockres를 다운받아서 확인할 수 있다.

클라이언트는 2클록 주기가 보통이고 서버는 12클록이 일반적이다.
서버가 더 긴 이유는 스위칭을 최소화하기 위해서이다.

디폴트는 0x03이다.

1. !process 0 0
- If Flags is 0, only a minimal amount of information is displayed.

2. !process 0 1

3. !process 

1에서 3으로 갈수록 더 구체적으로 출력해준다.

프로세스 관련 정보를 출력해준다.

EPROCESS와 PEB,TEB까지도 출력해준다.

밑은 !process 0 1의 출력결과이다.

밑을 보면 0 0 과달리 구조체 내용까지 출력해주는 것을 볼 수 있다. 

밑은 !process의 출력결과이다.

뒤에 플래그 번호가 없다면 디폴트값이 0x03이라고 한다.

THREAD와 TEB 주소까지 출력해주는 모습을 볼 수 있다.

process를 넘어 thread정보까지 출력해준다.

잡 객체는 여러 프로세스를 하나로 묶은 그룹

하나의 프로세스는 하나의 잡 객체에만 포함될 수 있다.

잡 객체 제약

활성 프로세스 최대 개수지정

유저모드 접근 제한

CPU 시간 제한

우선순위

잡 셋

객체와 프로세스 연관을 짓는데 있어서 정교한 제어 허용

http://wonjayk.tistory.com/287

1씩 증가하다가 오버플로우가 발생하면 타이머 인터럽트를 발생시키는 방식

진동 한번을 1HZ라고 칭한다.

타이머/ 카운트 레지스터를 이용한다.