;
자동실행 레지스트리 경로
windows 2011. 12. 11. 13:48 |
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\Windows\Load
HKLM\Software\Microsoft\Windows\CurrentVersion\Windows\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon\Userinit
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
'windows' 카테고리의 다른 글
| 윈도 스크립트 자동실행 (0) | 2012.01.10 |
|---|---|
| "ActiveDirectory 사용자 및 컴퓨터"-dsa.msc 실행이 안될때 win2008 (0) | 2012.01.03 |
| IMAGE_THUNK_DATA32 (0) | 2010.05.24 |
| Windows Data Types (0) | 2010.05.24 |
| PIMAGE_IMPORT_DESCRIPTOR (0) | 2010.05.24 |
GOM Player 2.1.33.5071 exploit
vulnerability 2011. 12. 9. 11:03 |오랫만에 익스플로잇 분석을 해보려는데 exploit-db에 공개된 코드는 한글윈도우에서 실행되지 않는다. 익스플로잇이 실행되려면 메모리에 D9005700이 정확하게 박혀야한다. (eip의 값이되므로)
한글판에서는 이데이터가 메모리에 박힐때 변형된다. D9005700->3F00 이였던걸로 기억한다. 데이터가 문자의 범위가 아니어서 그런듯. 변형안되는걸로 바꿔보려고 0x00XX00XX 주소의 데이터중 FFD5(call ebp)를 찾아봤는데 없ㅋ엉ㅋ (하나 더 있긴한데 그것도 변형됨) 포기 ㅡ_ㅜ 한글판에서 먹히는 익스플로잇이 없다면 국내 영향은 많지 않겠네
한글판에서는 이데이터가 메모리에 박힐때 변형된다. D9005700->3F00 이였던걸로 기억한다. 데이터가 문자의 범위가 아니어서 그런듯. 변형안되는걸로 바꿔보려고 0x00XX00XX 주소의 데이터중 FFD5(call ebp)를 찾아봤는데 없ㅋ엉ㅋ (하나 더 있긴한데 그것도 변형됨) 포기 ㅡ_ㅜ 한글판에서 먹히는 익스플로잇이 없다면 국내 영향은 많지 않겠네
'vulnerability' 카테고리의 다른 글
| web browser bug hunting (0) | 2013.02.27 |
|---|---|
| hwp & javascript (0) | 2012.10.16 |
| CVE ID 받기 (0) | 2011.03.31 |
| LNK 파일 생성기(Windows LNK Vulnerability) (1) | 2010.07.27 |
| html file upload form (0) | 2010.06.24 |