<그림 1>
① VAS(Virtual Address Space) : process 한 개가 혼자 사용하는 가상의 공간.
<그림 2>
- 실행 파일마다 이 가상 메모리로 4GB 만큼의 공간이 주어진다.
- process는 자기 혼자 4GB를 사용하는 줄 알지만 실제로 cpu는 process에게 딱 사용하는 만큼의 공간을 할당한다.
- user mode에 로딩된 PE-File은 user mode space에서만 엑세스할 수 있으며 만약 user mode space를 넘어서 kernel mode space를 읽거나 쓰려고 하면 cpu가 violation을 발생시키고 강제 종료한다.
'Security > RCE' 카테고리의 다른 글
| (Manual Unpacking 01) UPX Unpacking (0) | 2013.08.14 |
|---|---|
| (이론 02) EFLAGS (0) | 2013.08.13 |
| (분석 01) WinSock 기초 분석 (0) | 2013.06.14 |
| 01 WinSock Basic (0) | 2013.06.11 |
| (분석 01) Multi Thread 분석 (0) | 2013.06.01 |
