-SeDebugPrivilege-
http://support.microsoft.com/kb/131065/ko

-3389 레지스트리-
http://surewin.kr/xp/10379
http://www.mydigitallife.info/turn-on-or-enable-remote-desktop-on-windows-vista/

 - 포트번호 수정 -
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber


Windows 7
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp\PortNumber


-유저권한에 대한 글 (takeown, icacls 명령어)-

http://blog.naver.com/PostView.nhn?blogId=forc1&logNo=50092734072
http://snoopybox.co.kr/929
http://snoopybox.co.kr/1510

-비주얼스튜디오 메니페스트관련-

http://blog.naver.com/liehacker?Redirect=Log&logNo=130071461580
http://sol9501.blog.me/70107857763

-사용자 추가 명령어- #Administrators 그룹구성원으로 추가해야함
http://www.niemand.org/bbs/view.php?id=tip&page=4&sn1=&divpage=1&sn=off&ss=on&sc=on&select_arrange=headnum&desc=asc&no=89&PHPSESSID=dfb0021fba40cd41f63f7626f04da32d

http://shinb.tistory.com/130

-관리자 권한 활성화하기-
http://shinb.tistory.com/125

-사용자 ID 숨기기-
http://blog.daum.net/_blog/BlogTypeView.do?blogid=0Oi91&articleno=77#ajax_history_home

-  설치된 프로그램 -
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\하위키\DisplayName

신고
Posted by kyh1026
1. 심볼없는 드라이버 DriverEntry에 bp설정

bp 드라이버이름+0xef(드라이버 entry의 offset) // offset은 PEviewer등 툴로 확인가능
sxe ld 드라이버이름 // sxe는 활성화 sxd는 비활성화 -> 로딩되는 시점에 break 걸림

2. IopLoadDriver 를 찾아가다 보면 call dword ptr [edi+2c] 코드에 bp를 설정함 -> bp nt!IopLoadDriver+0x66a
edi에는 driver_object의 주소가 있으며, 0x2c의 offset에는 DriverInit맴버가 있음. 이 DriverInit맴버가 DriverEntry의 주소를 가지고 있어 이 주소위치에 bp를 설정하여 드라이버의 처음부분부터 분석이 가능함

dt _driver_object [edi] 로 값을 확인할 수 있음.
신고
Posted by kyh1026

win7 Debuggee 설정

1. bcdedit 명령으로 identifier 확인 WIndows Boot Loader 부분에 {current}로 되어있음
2. bcdedit /copy {current} /d "Windows 7 with Debug" 로 부팅 시 선택항목을 생성 "" <- 요건 아무이름이나 상관없음
3. bcdedit 명령으로 Windows Boot Loader 부분의 identifier가 바뀌었는지 확인하고({current} -> {16진수 형태}) 이를 이용하여 디버깅 모드를 ON 시켜줘야함
3. bcdedit /debug {16진수형태} ON
4. 재부팅하여 디버깅 모드로 부팅할 수 있음 


신고
Posted by kyh1026