#EPM이 뭔지

http://www.julien-manici.com/blog/ie10-new-sandbox-enhanced-protected-mode-windows-8/

#EPM 취약점

http://googleprojectzero.blogspot.co.uk/2014/12/internet-explorer-epm-sandbox-escape.html

ex) du -sk */ | awk 'BEGIN { FS="\t" }; { if($1 > 100000) printf "." $2 }' | xargs rm -rf

xargs rm -rf 대신 xargs du -sh로 폴더 용량 확인하고 삭제 하시길.

응용 : 폴더 depth를 2개까지로 한정하고 용량 범위를 지정하여 삭제

du -k 12*/ --max-depth=1 | awk 'BEGIN { FS="\t" }; { if($1 > 100000 && $1 < 2000000) printf "." $2 }' | xargs rm -rf

디렉토리를 용량순으로 표시하는 방법

원래 du 명령을 사용하면 14K > 12M로 표시되는 걸 다음과 같이 표시하는 방법이다.

ex) 현재 디렉토리 내 A, B, C 폴더, a, b, c 파일을 용량순으로 표시(M, K 이런식으로..)

12M A

9M  C

1M  B

14K b

10K a

0     c

du -ks * | sort -nr | cut -f2 | xargs -d '\n' du -sh

이런식으로 하면 됩니다.

-ks (block-size 1K & total size 1 depth)

-nr (numeric-sort & reverse) : r 주면 역순으로 재배치, 숫자에 따라 내림차순 또는 오름차순

xargs -d (delimiter) '\n' du -sh : 이건 du -sh를 엔터를 허용해서 표시

-sh는 사이즈를 인간이 보기편하게 보는 옵션

관련 포스트

http://arisri.tistory.com/entry/%EB%A6%AC%EB%88%85%EC%8A%A4-du-%EB%AA%85%EB%A0%B9%EB%94%94%EB%A0%89%ED%86%A0%EB%A6%AC-%EC%9A%A9%EB%9F%89-%ED%99%95%EC%9D%B8-%EC%9D%91%EC%9A%A9

See this.

So, I checked XREFS (Shift + R).

And than deleted problemXREF. (Delete function key)

Add again.

Done.

(I'm not guarantee this post. Some cases I couldn't reconfigure in the same way.)

http://en.wikipedia.org/wiki/Indoor_positioning_system

실내 및 근거리 내 위치를 찾아내는 시스템들....

wifi 수신감도를 3차원으로 해석할 수 있으면 삼각측량법이 아니여도

위치의 정확도를 높일 수 있지 않을까

Set과 Map은 저장된 방식의 차이다. 둘다 순서는 없다.

HashSet : {1, 2, 3, 4, 5}

HashMap : {a->1, b->2, c->2, d, ->1}

HashMap은 중복 데이터 허용, HashSet는 불허용

HashSet은 키가 곧 데이터이고 HashMap은 키값이 지정됨(??). 둘다 인덱싱을 하지 않지만 데이터를 찾아가는 방식이 차이가 있음.

그리고 Set은 그냥 집합임(Set이 한글로 집합)

이번 악성코드를 살펴보니 자식 프로세스에 메모리를 재할당하고 Thread Context 구조체를 활용, OEP를 원하는 지점으로 수정하는 방법을 사용하고 있었다.

찾아보니 이미 HOWTO가 많이 검색되었다.

아래는 320변종이라는 악성코드가 사용하는 코드

악성코드가 Thread Context 구조체를 접근하는 이유는 Eax, Ebx가 각각 특정 포인터 역할을 하기 때문이다.

Context.Eax =>Original Entiry Point(OEP)

Context.Ebx =>Process Environment Block(PEB)

(PEB + 8 offset은 Image Base Address이므로 PEB 주소를 알면 이를 수정할 수 있다.)

Eax를 보면 OEP가 수정되었다는 것을 알 수 있다.

- ntddk : MS Windows <ntddk.h>

- ntapi : MS Windows NT 4.0 Native API <ntapi.h><ntdll.h>

- wnet : MS Windows DDK <wnet/windows.h>

- mssdk : MS SDK (Windows XP)

> !peb  (import된 dll확인)

> .reload /i WS2_32.dll

이런식으로 강제로 특정 Dll을 reload 하면 볼 수 없는 함수 이름 잘 맞춰주네요. 

http://blogs.msdn.com/b/emeadaxsupport/archive/2011/04/10/setting-up-windbg-and-using-symbols.aspx

Guess OS에서

C:\Program Files\Oracle\VirtualBox Guest Additons

에 접근하면 DIFxAPI.dll이 있는데

이 파일을 windows\system32 폴더에 복사하면 잘 설치됨