외로운 Nova의 작업실

안녕하세요. volatility 명령어들을 까먹지 않기 위해 명령어들을 정리하려 합니다. iamageinfo : 운영체제 식별 volatility_2.6_win64_standalone.exe -f Target1-1dd8701f.vmss imageinfo - 프로세스 보기 pslist : 시간순소대로 프로세스 검색 psscan : 숨겨진 프로세스 출력 pstree : 부모,자식 순으로 구조화하여 프로세스를 출력 pscview : pslist, psscan을 포함한 도구들의 결과를 한눈에 볼 수 있습니다. volatility_2.6_win64_standalone.exe -f Target1-1dd8701f.vmss --profile=Win7SP0x86 pslist > pslist.log volatility_2..

안녕하세요, 이번 시간에는 메크로에대해서 정리 및 공부해볼까합니다. - 메크로 메크로는 전처리 단계 동안 어셈블러에 의해서 등록된 코드로 확장됩니다. - 메크로 정의 및 호출하기 메크로 정의는 아래와 같이 진행합니다. name MACRO parameter1, parameter2 ... source code ENDM 아래는 예시입니다. PrintX MACRO mov al, 'X' call WriteChar ENDM 메크로 호출의 경우 아래와 같이 진행합니다. macroname argument1, argument2... 위 PrintX의 호출은 아래와 같이 call 명령어 없이 사용합니다. .code printX 이렇게 선언을 하면 어셈블러는 전처리 단계동안 아래와 같은 코드로 확장시켜줍니다. .code m..

안녕하세요, 이번 시간에는 구조체에대해서 정리 및 공부해볼까합니다. - 구조체 어셈블리에서 구조체는 c언어의 구조체와 비슷합니다. 구조체의 변수들은 어셈블리에서 필드라고 부릅니다. - 구조체 정의하기 구조체를 정의할때는 아래와 같은 코드를 사용합니다. name STRUCT filed-declarations name ENDS 마우스 커서의 x좌표와 y좌표를 저장하는 COORD 구조체의 예시입니다. COORD STRUCT X WORD ? Y WORD ? COORD ENDS - 구조체 필드 정렬하기 가장 좋은 메모리 I/O 성능을 위해서는 구조체 멤버는 이의 데이터 타입에 맞는 주소에 정렬되어야합니다. 그렇지 않으면 이 멤버들을 접근하는데 CPU는 좀 더 많은 시간이 필요합니다. 예를들어 WORD는 2의 배수..