- 한 프로세스에서 CreateProcess를 호출한다는 것은 자신의 자식 프로세스를 실행한다고 볼 수 있다.
이 때, 프로세스 실행에 대한 속성을 정할 수 있는데 STARTUPINFO Struct와 PROCESS_INFORMATION
Struct를 통하여 설정한다.
- 아래의 그림에서 si는 STARTUPINFO Struct의 구조체 변수, pi는 PROCESS_INFORMATION Struct의 변수
공부
- CreateProcess 2014.07.11
- Setting Windows Properties Using STARTUPINFO 2014.07.11
- 스냅 샷과 CreateToolhelp32Snapshot 2014.06.30
- Win7Elevate 2014.06.12
CreateProcess
2014. 7. 11. 13:46
Setting Windows Properties Using STARTUPINFO
2014. 7. 11. 13:13
A parent process can specify properties associated with the main window of its child process. The CreateProcess function takes a pointer to a STARTUPINFO structure as one of its parameters. Use the members of this structure to specify characteristics of the child process's main window. The dwFlags member contains a bitfield that determines which other members of the structure are used. This allows you to specify values for any subset of the window properties. The system uses default values for the properties you do not specify. The dwFlags member can also force a feedback cursor to be displayed during the initialization of the new process.
CreateProcess 함수는 STARTUPINFO 구조체를 하나의 파라미터로 취할 수 있는데 STARTUPINFO는 새로 생성하는 프로세스의 속성을 결정할 수 있는 중요한 구조체이다.
출처 : http://msdn.microsoft.com/en-us/library/windows/desktop/ms686285(v=vs.85).aspx
스냅 샷과 CreateToolhelp32Snapshot
2014. 6. 30. 13:03
- 프로그램의 상태를 알아보기 위해 어느 한 순간 주기억 장치나 하드웨어 레지스터, 상태 표시기 등의
모든 내용을 포함한 메모리의 현재 상태를 저장
Win7Elevate
2014. 6. 12. 15:57
Win7Elevate은 2009년 Leo Davidson이 공개한 Proof of Concept Demo 코드로서
북한 사이버 전사들이 윈도우 7 이상에서 악성 파일 동작을 시키기 위해 자주 사용되는 소스라고 한다.
UAC(User Account Control) 우회를 위한 목적으로 주요 사용된다.
This is windows bypass UAC source code
Win7Elevate can be used by other programs to bypass UAC on Windows 7
http://www.sophos.com/en-us/threat-center/threat-analyses/adware-and-puas/Win7Elevate/detailed-analysis.aspx