Portable Executable File Format on Memory Dump

I am going to describe how we can check PE stuffs on a file loaded on to a system in a memory dump file in this article. PE file format is the file format for Win32 Executables having extensions like .exe, .sys, .dll, etc. Here I put down on the short details of Portable Executables…

1

Standby Mode로 진입 실패에 대한 원인

Standby Mode로의 진입이 실패하는 이유는 다양합니다만, 아래와 같은 경우가 일반적입니다. 아래 내용을 참조하시기 바랍니다.   Standby mode로 진입하여 현재 상태의 스냅샷을 받은 후 저장하는 것은 다음과 같은 조건이 되었을 때에만 가능합니다. 즉, 마지막 10분 동안 아래와 같은 일들이 일어나지 않을 경우에만 시스템이 Idle 상태로 판단하게 됩니다. 이 때부터 Standby로 설정한 시간만큼 기다렸다가 Standby 모드로 진입시도를…

1

Session, Window Station과 Desktop

1. Session, Window Station, 그리고 Desktop Windows는 User Interface, GDI(Graphics Device Interface), 과 Kernel 이라는 3가지 큰 부류의 개체를 제공합니다. 이 중에서 User Interface 개체는 Windows Stations과 Desktops를 사용하여 관리됩니다. 그러면 Window Station은 무엇일까요? Window Station은 Clipboard, Atom Table, 그리고 한두개 이상의 Desktop 개체를 포함하고 있습니다. 그리고 이를 관리하게 됩니다. Windows Station이 생성될 때, 현재…

1

Naming a File(파일명 붙이기)

DOS를 지원하는 FAT 파일 시스템에서 사용하는 파일명은 Filename.txt와 같이 8.3 파일명 명명 규칙을 사용하였습니다. 하지만 NTFS에서는 파일명을 255자 까지 입력할 수가 있습니다. 255 자에는 ‘.’ 과 ‘txt와 같은 확장자’와 Unicode 문자 등을 포함합니다. 예를 들어 ‘이것은 파일명 …. .txt’ 라고 한글로 255자까지의 파일명을 만들 수가 있습니다. [파일명 붙이기] 사용 가능한 파일명의 예는 다음과 같습니다. 예)…


ProcDump 사용법

User Mode에서 프로세스 메모리 덤프를 생성하는 도구를 소개합니다. 이 도구들은 Mark Russinovich가 운영중인 사이트에서 다운로드 받을 수 있습니다.   ProcDump   일반 설명 : User Mode에서 실행중인 프로세스에서 Hang이 발생하거나 이상 동작하고 있을 때 이를 분석하기 위해서는 User Mode Process Memory Dump를 생성하여야 합니다. 이를 위해서 사용하는 방법은 보통 Adplus 스크립트를 사용하거나 User Mode Process…