|
시스템 프로세스를 더블클릭!
thread로 bar로 가서 Cswitch 순서로 정렬
모듈을 누르면 창이 뜬다.
| 설치된 디바이스 드라이버 살펴보기! (0) | 2017.12.01 |
|---|---|
| ntoskrnl과 HAL 이미지 연관 관계 보기 (0) | 2017.12.01 |
| HAL 실습 (0) | 2017.12.01 |
| KPCR KPRCB 실습 (0) | 2017.12.01 |
| Dependency Walker (0) | 2017.12.01 |
살펴보면 윈도우 <접두어><오퍼레이션><객체>형태로 이름이 지어진다.
접두어의 대표적인 예가 nt,Rtl,zw 등등이다.
| 스레드와 시스템 드라이버 대응해보기 (0) | 2017.12.01 |
|---|---|
| ntoskrnl과 HAL 이미지 연관 관계 보기 (0) | 2017.12.01 |
| HAL 실습 (0) | 2017.12.01 |
| KPCR KPRCB 실습 (0) | 2017.12.01 |
| Dependency Walker (0) | 2017.12.01 |
ntoskrnl이 HAL에 연결되어 있는 것을 볼 수 있다.
| 스레드와 시스템 드라이버 대응해보기 (0) | 2017.12.01 |
|---|---|
| 설치된 디바이스 드라이버 살펴보기! (0) | 2017.12.01 |
| HAL 실습 (0) | 2017.12.01 |
| KPCR KPRCB 실습 (0) | 2017.12.01 |
| Dependency Walker (0) | 2017.12.01 |
...
* 64비트의 경우
hal.dll만 있지만
나의 VM같은 경우 windows7 32비트이기 떄문에
halacpi.dll과 halmacpic.dll 가 있다.
| 설치된 디바이스 드라이버 살펴보기! (0) | 2017.12.01 |
|---|---|
| ntoskrnl과 HAL 이미지 연관 관계 보기 (0) | 2017.12.01 |
| KPCR KPRCB 실습 (0) | 2017.12.01 |
| Dependency Walker (0) | 2017.12.01 |
| 책 자료실 (0) | 2017.12.01 |
!pcr명령어는 프로세스 현재 상태를 보여주는 명령어이다.
!prcb는process control block의 약자이다.
pcr의 확장이라고 보면 된다.
로컬 커널 디버깅이 되지 않기때문에
VirtualKD 로 커널디버깅을 해서 해보도록 하자!
http://www.nirsoft.net/kernel_struct/vista/KPCR.html
http://www.nirsoft.net/kernel_struct/vista/KPRCB.html
| ntoskrnl과 HAL 이미지 연관 관계 보기 (0) | 2017.12.01 |
|---|---|
| HAL 실습 (0) | 2017.12.01 |
| Dependency Walker (0) | 2017.12.01 |
| 책 자료실 (0) | 2017.12.01 |
| 책 자료실 (0) | 2017.12.01 |
