Write Protection - Registry Setting (0)	2016.01.17
Windows USB Autorn 설정 (0)	2016.01.04
Control registers - wiki (0)	2015.11.07
_TEB, _PEB Windows 10 (0)	2015.11.05
_EPROCESS, _KPOCESS Windows 10 (0)	2015.11.05

O / S /Window

Control registers - wiki

Kail-KM

|2015. 11. 7. 03:02

Control registers in x86 series[edit]

CR0[edit]

The CR0 register is 32 bits long on the 386 and higher processors. On x86-64 processors in long mode, it (and the other control registers) is 64 bits long. CR0 has various control flags that modify the basic operation of the processor.

Bit	Name	Full Name	Description
31	PG	Paging	If 1, enable paging and use the CR3 register, else disable paging
30	CD	Cache disable	Globally enables/disable the memory cache
29	NW	Not-write through	Globally enables/disable write-through caching
18	AM	Alignment mask	Alignment check enabled if AM set, AC flag (in EFLAGS register) set, and privilege level is 3
16	WP	Write protect	When set, the CPU can't write to read-only pages when privilege level is 0
5	NE	Numeric error	Enable internal x87 floating point error reporting when set, else enables PC style x87 error detection
4	ET	Extension type	On the 386, it allowed to specify whether the external math coprocessor was an 80287 or 80387
3	TS	Task switched	Allows saving x87 task context upon a task switch only after x87 instruction used
2	EM	Emulation	If set, no x87 floating point unit present, if clear, x87 FPU present
1	MP	Monitor co-processor	Controls interaction of WAIT/FWAIT instructions with TS flag in CR0
0	PE	Protected Mode Enable	If 1, system is in protected mode, else system is in real mode

CR1[edit]

Reserved

CR2[edit]

Contains a value called Page Fault Linear Address (PFLA). When a page fault occurs, the address the program attempted to access is stored in the CR2 register.

CR3[edit]

Typical use of CR3 in address translation with 4 KiB pages.

Used when virtual addressing is enabled, hence when the PG bit is set in CR0. CR3 enables the processor to translate linear addresses into physical addresses by locating the page directory and page tables for the current task. Typically, the upper 20 bits of CR3 become the page directory base register (PDBR), which stores the physical address of the first page directory entry.

CR4[edit]

Used in protected mode to control operations such as virtual-8086 support, enabling I/O breakpoints, page size extension and machine check exceptions.

Bit	Name	Full Name	Description
22	PKE	Protection Key Enable	See Intel® 64 and IA-32 Architectures Software Developer’s Manual
21	SMAP	Supervisor Mode Access Protection Enable	If set, access of data in a higher ring generates a fault^[1]
20	SMEP	Supervisor Mode Execution Protection Enable	If set, execution of code in a higher ring generates a fault
18	OSXSAVE	XSAVE and Processor Extended States Enable
17	PCIDE	PCID Enable	If set, enables process-context identifiers (PCIDs).
16	FSGSBASE	Enables the instructions RDFSBASE, RDGSBASE, WRFSBASE, and WRGSBASE.
14	SMXE	Safer Mode Extensions Enable	see Trusted Execution Technology (TXT)
13	VMXE	Virtual Machine Extensions Enable	see Intel VT-x
10	OSXMMEXCPT	Operating System Support for Unmasked SIMD Floating-Point Exceptions	If set, enables unmasked SSE exceptions.
9	OSFXSR	Operating system support for FXSAVE and FXRSTOR instructions	If set, enables SSE instructions and fast FPU save & restore
8	PCE	Performance-Monitoring Counter enable	If set, RDPMC can be executed at any privilege level, else RDPMC can only be used in ring 0.
7	PGE	Page Global Enabled	If set, address translations (PDE or PTE records) may be shared between address spaces.
6	MCE	Machine Check Exception	If set, enables machine check interrupts to occur.
5	PAE	Physical Address Extension	If set, changes page table layout to translate 32-bit virtual addresses into extended 36-bit physical addresses.
4	PSE	Page Size Extension	If unset, page size is 4 KiB, else page size is increased to 4 MiB (or 2 MiB with PAE set).
3	DE	Debugging Extensions	If set, enables debug register based breaks on I/O space access
2	TSD	Time Stamp Disable	If set, RDTSC instruction can only be executed when in ring 0, otherwise RDTSC can be used at any privilege level.
1	PVI	Protected-mode Virtual Interrupts	If set, enables support for the virtual interrupt flag (VIF) in protected mode.
0	VME	Virtual 8086 Mode Extensions	If set, enables support for the virtual interrupt flag (VIF) in virtual-8086 mode.

Additional Control registers in x86-64 series[edit]

EFER[edit]

Extended Feature Enable Register (EFER) is a model-specific register added in the AMD K6 processor, to allow enabling the SYSCALL/SYSRET instruction, and later for entering and exiting long mode. This register becomes architectural in AMD64 and has been adopted by Intel. Its MSR number is 0xC0000080.

Bit	Purpose
63:16	Reserved
15	TCE (Translation Cache Extension)
14	FFXSR (Fast FXSAVE/FXRSTOR)
13	LMSLE (Long Mode Segment Limit Enable)
12	SVME (Secure Virtual Machine Enable)
11	NXE (No-Execute Enable)
10	LMA (Long Mode Active)
9	Reserved
8	LME (Long Mode Enable)
7:1	Reserved
0	SCE (System Call Extensions)

CR8[edit]

CR8 is a new register accessible in 64-bit mode using the REX prefix. CR8 is used to prioritize external interrupts and is referred to as the task-priority register (TPR).^[2]

The AMD64 architecture allows software to define up to 15 external interrupt-priority classes. Priority classes are numbered from 1 to 15, with priority-class 1 being the lowest and priority-class 15 the highest. CR8 uses the four low-order bits for specifying a task priority and the remaining 60 bits are reserved and must be written with zeros.

System software can use the TPR register to temporarily block low-priority interrupts from interrupting a high-priority task. This is accomplished by loading TPR with a value corresponding to the highest-priority interrupt that is to be blocked. For example, loading TPR with a value of 9 (1001b) blocks all interrupts with a priority class of 9 or less, while allowing all interrupts with a priority class of 10 or more to be recognized. Loading TPR with 0 enables all external interrupts. Loading TPR with 15 (1111b) disables all external interrupts.

The TPR is cleared to 0 on reset.

https://en.wikipedia.org/wiki/Control_register

'O / S > Window' 카테고리의 다른 글

Windows USB Autorn 설정 (0)	2016.01.04
Windows 10 _HANDLES_TABLE, _HADNLES_TABLE_ENTRY (0)	2015.11.09
_TEB, _PEB Windows 10 (0)	2015.11.05
_EPROCESS, _KPOCESS Windows 10 (0)	2015.11.05
System Overview (0)	2015.10.28

O / S /Window

_TEB, _PEB Windows 10

Kail-KM

|2015. 11. 5. 15:10

> dt _TEB

ntdll!_TEB

+0x000 NtTib : _NT_TIB

+0x01c EnvironmentPointer : Ptr32 Void

+0x020 ClientId : _CLIENT_ID

+0x028 ActiveRpcHandle : Ptr32 Void

+0x02c ThreadLocalStoragePointer : Ptr32 Void

+0x030 ProcessEnvironmentBlock : Ptr32 _PEB

+0x034 LastErrorValue : Uint4B

+0x038 CountOfOwnedCriticalSections : Uint4B

+0x03c CsrClientThread : Ptr32 Void

+0x040 Win32ThreadInfo : Ptr32 Void

+0x044 User32Reserved : [26] Uint4B

+0x0ac UserReserved : [5] Uint4B

+0x0c0 WOW32Reserved : Ptr32 Void

+0x0c4 CurrentLocale : Uint4B

+0x0c8 FpSoftwareStatusRegister : Uint4B

+0x0cc ReservedForDebuggerInstrumentation : [16] Ptr32 Void

+0x10c SystemReserved1 : [38] Ptr32 Void

+0x1a4 ExceptionCode : Int4B

+0x1a8 ActivationContextStackPointer : Ptr32 _ACTIVATION_CONTEXT_STACK

+0x1ac InstrumentationCallbackSp : Uint4B

+0x1b0 InstrumentationCallbackPreviousPc : Uint4B

+0x1b4 InstrumentationCallbackPreviousSp : Uint4B

+0x1b8 InstrumentationCallbackDisabled : UChar

+0x1b9 SpareBytes : [23] UChar

+0x1d0 TxFsContext : Uint4B

+0x1d4 GdiTebBatch : _GDI_TEB_BATCH

+0x6b4 RealClientId : _CLIENT_ID

+0x6bc GdiCachedProcessHandle : Ptr32 Void

+0x6c0 GdiClientPID : Uint4B

+0x6c4 GdiClientTID : Uint4B

+0x6c8 GdiThreadLocalInfo : Ptr32 Void

+0x6cc Win32ClientInfo : [62] Uint4B

+0x7c4 glDispatchTable : [233] Ptr32 Void

+0xb68 glReserved1 : [29] Uint4B

+0xbdc glReserved2 : Ptr32 Void

+0xbe0 glSectionInfo : Ptr32 Void

+0xbe4 glSection : Ptr32 Void

+0xbe8 glTable : Ptr32 Void

+0xbec glCurrentRC : Ptr32 Void

+0xbf0 glContext : Ptr32 Void

+0xbf4 LastStatusValue : Uint4B

+0xbf8 StaticUnicodeString : _UNICODE_STRING

+0xc00 StaticUnicodeBuffer : [261] Wchar

+0xe0c DeallocationStack : Ptr32 Void

+0xe10 TlsSlots : [64] Ptr32 Void

+0xf10 TlsLinks : _LIST_ENTRY

+0xf18 Vdm : Ptr32 Void

+0xf1c ReservedForNtRpc : Ptr32 Void

+0xf20 DbgSsReserved : [2] Ptr32 Void

+0xf28 HardErrorMode : Uint4B

+0xf2c Instrumentation : [9] Ptr32 Void

+0xf50 ActivityId : _GUID

+0xf60 SubProcessTag : Ptr32 Void

+0xf64 PerflibData : Ptr32 Void

+0xf68 EtwTraceData : Ptr32 Void

+0xf6c WinSockData : Ptr32 Void

+0xf70 GdiBatchCount : Uint4B

+0xf74 CurrentIdealProcessor : _PROCESSOR_NUMBER

+0xf74 IdealProcessorValue : Uint4B

+0xf74 ReservedPad0 : UChar

+0xf75 ReservedPad1 : UChar

+0xf76 ReservedPad2 : UChar

+0xf77 IdealProcessor : UChar

+0xf78 GuaranteedStackBytes : Uint4B

+0xf7c ReservedForPerf : Ptr32 Void

+0xf80 ReservedForOle : Ptr32 Void

+0xf84 WaitingOnLoaderLock : Uint4B

+0xf88 SavedPriorityState : Ptr32 Void

+0xf8c ReservedForCodeCoverage : Uint4B

+0xf90 ThreadPoolData : Ptr32 Void

+0xf94 TlsExpansionSlots : Ptr32 Ptr32 Void

+0xf98 MuiGeneration : Uint4B

+0xf9c IsImpersonating : Uint4B

+0xfa0 NlsCache : Ptr32 Void

+0xfa4 pShimData : Ptr32 Void

+0xfa8 HeapVirtualAffinity : Uint2B

+0xfaa LowFragHeapDataSlot : Uint2B

+0xfac CurrentTransactionHandle : Ptr32 Void

+0xfb0 ActiveFrame : Ptr32 _TEB_ACTIVE_FRAME

+0xfb4 FlsData : Ptr32 Void

+0xfb8 PreferredLanguages : Ptr32 Void

+0xfbc UserPrefLanguages : Ptr32 Void

+0xfc0 MergedPrefLanguages : Ptr32 Void

+0xfc4 MuiImpersonation : Uint4B

+0xfc8 CrossTebFlags : Uint2B

+0xfc8 SpareCrossTebBits : Pos 0, 16 Bits

+0xfca SameTebFlags : Uint2B

+0xfca SafeThunkCall : Pos 0, 1 Bit

+0xfca InDebugPrint : Pos 1, 1 Bit

+0xfca HasFiberData : Pos 2, 1 Bit

+0xfca SkipThreadAttach : Pos 3, 1 Bit

+0xfca WerInShipAssertCode : Pos 4, 1 Bit

+0xfca RanProcessInit : Pos 5, 1 Bit

+0xfca ClonedThread : Pos 6, 1 Bit

+0xfca SuppressDebugMsg : Pos 7, 1 Bit

+0xfca DisableUserStackWalk : Pos 8, 1 Bit

+0xfca RtlExceptionAttached : Pos 9, 1 Bit

+0xfca InitialThread : Pos 10, 1 Bit

+0xfca SessionAware : Pos 11, 1 Bit

+0xfca LoadOwner : Pos 12, 1 Bit

+0xfca LoaderWorker : Pos 13, 1 Bit

+0xfca SpareSameTebBits : Pos 14, 2 Bits

+0xfcc TxnScopeEnterCallback : Ptr32 Void

+0xfd0 TxnScopeExitCallback : Ptr32 Void

+0xfd4 TxnScopeContext : Ptr32 Void

+0xfd8 LockCount : Uint4B

+0xfdc WowTebOffset : Int4B

+0xfe0 ResourceRetValue : Ptr32 Void

+0xfe4 ReservedForWdf : Ptr32 Void

+0xfe8 ReservedForCrt : Uint8B

+0xff0 EffectiveContainerId : _GUID

> dt _PEB

ntdll!_PEB

+0x000 InheritedAddressSpace : UChar

+0x001 ReadImageFileExecOptions : UChar

+0x002 BeingDebugged : UChar

+0x003 BitField : UChar

+0x003 ImageUsesLargePages : Pos 0, 1 Bit

+0x003 IsProtectedProcess : Pos 1, 1 Bit

+0x003 IsImageDynamicallyRelocated : Pos 2, 1 Bit

+0x003 SkipPatchingUser32Forwarders : Pos 3, 1 Bit

+0x003 IsPackagedProcess : Pos 4, 1 Bit

+0x003 IsAppContainer : Pos 5, 1 Bit

+0x003 IsProtectedProcessLight : Pos 6, 1 Bit

+0x003 SpareBits : Pos 7, 1 Bit

+0x004 Mutant : Ptr32 Void

+0x008 ImageBaseAddress : Ptr32 Void

+0x00c Ldr : Ptr32 _PEB_LDR_DATA

+0x010 ProcessParameters : Ptr32 _RTL_USER_PROCESS_PARAMETERS

+0x014 SubSystemData : Ptr32 Void

+0x018 ProcessHeap : Ptr32 Void

+0x01c FastPebLock : Ptr32 _RTL_CRITICAL_SECTION

+0x020 AtlThunkSListPtr : Ptr32 Void

+0x024 IFEOKey : Ptr32 Void

+0x028 CrossProcessFlags : Uint4B

+0x028 ProcessInJob : Pos 0, 1 Bit

+0x028 ProcessInitializing : Pos 1, 1 Bit

+0x028 ProcessUsingVEH : Pos 2, 1 Bit

+0x028 ProcessUsingVCH : Pos 3, 1 Bit

+0x028 ProcessUsingFTH : Pos 4, 1 Bit

+0x028 ReservedBits0 : Pos 5, 27 Bits

+0x02c KernelCallbackTable : Ptr32 Void

+0x02c UserSharedInfoPtr : Ptr32 Void

+0x030 SystemReserved : [1] Uint4B

+0x034 AtlThunkSListPtr32 : Uint4B

+0x038 ApiSetMap : Ptr32 Void

+0x03c TlsExpansionCounter : Uint4B

+0x040 TlsBitmap : Ptr32 Void

+0x044 TlsBitmapBits : [2] Uint4B

+0x04c ReadOnlySharedMemoryBase : Ptr32 Void

+0x050 SparePvoid0 : Ptr32 Void

+0x054 ReadOnlyStaticServerData : Ptr32 Ptr32 Void

+0x058 AnsiCodePageData : Ptr32 Void

+0x05c OemCodePageData : Ptr32 Void

+0x060 UnicodeCaseTableData : Ptr32 Void

+0x064 NumberOfProcessors : Uint4B

+0x068 NtGlobalFlag : Uint4B

+0x070 CriticalSectionTimeout : _LARGE_INTEGER

+0x078 HeapSegmentReserve : Uint4B

+0x07c HeapSegmentCommit : Uint4B

+0x080 HeapDeCommitTotalFreeThreshold : Uint4B

+0x084 HeapDeCommitFreeBlockThreshold : Uint4B

+0x088 NumberOfHeaps : Uint4B

+0x08c MaximumNumberOfHeaps : Uint4B

+0x090 ProcessHeaps : Ptr32 Ptr32 Void

+0x094 GdiSharedHandleTable : Ptr32 Void

+0x098 ProcessStarterHelper : Ptr32 Void

+0x09c GdiDCAttributeList : Uint4B

+0x0a0 LoaderLock : Ptr32 _RTL_CRITICAL_SECTION

+0x0a4 OSMajorVersion : Uint4B

+0x0a8 OSMinorVersion : Uint4B

+0x0ac OSBuildNumber : Uint2B

+0x0ae OSCSDVersion : Uint2B

+0x0b0 OSPlatformId : Uint4B

+0x0b4 ImageSubsystem : Uint4B

+0x0b8 ImageSubsystemMajorVersion : Uint4B

+0x0bc ImageSubsystemMinorVersion : Uint4B

+0x0c0 ActiveProcessAffinityMask : Uint4B

+0x0c4 GdiHandleBuffer : [34] Uint4B

+0x14c PostProcessInitRoutine : Ptr32 void

+0x150 TlsExpansionBitmap : Ptr32 Void

+0x154 TlsExpansionBitmapBits : [32] Uint4B

+0x1d4 SessionId : Uint4B

+0x1d8 AppCompatFlags : _ULARGE_INTEGER

+0x1e0 AppCompatFlagsUser : _ULARGE_INTEGER

+0x1e8 pShimData : Ptr32 Void

+0x1ec AppCompatInfo : Ptr32 Void

+0x1f0 CSDVersion : _UNICODE_STRING

+0x1f8 ActivationContextData : Ptr32 _ACTIVATION_CONTEXT_DATA

+0x1fc ProcessAssemblyStorageMap : Ptr32 _ASSEMBLY_STORAGE_MAP

+0x200 SystemDefaultActivationContextData : Ptr32 _ACTIVATION_CONTEXT_DATA

+0x204 SystemAssemblyStorageMap : Ptr32 _ASSEMBLY_STORAGE_MAP

+0x208 MinimumStackCommit : Uint4B

+0x20c FlsCallback : Ptr32 _FLS_CALLBACK_INFO

+0x210 FlsListHead : _LIST_ENTRY

+0x218 FlsBitmap : Ptr32 Void

+0x21c FlsBitmapBits : [4] Uint4B

+0x22c FlsHighIndex : Uint4B

+0x230 WerRegistrationData : Ptr32 Void

+0x234 WerShipAssertPtr : Ptr32 Void

+0x238 pUnused : Ptr32 Void

+0x23c pImageHeaderHash : Ptr32 Void

+0x240 TracingFlags : Uint4B

+0x240 HeapTracingEnabled : Pos 0, 1 Bit

+0x240 CritSecTracingEnabled : Pos 1, 1 Bit

+0x240 LibLoaderTracingEnabled : Pos 2, 1 Bit

+0x240 SpareTracingBits : Pos 3, 29 Bits

+0x248 CsrServerReadOnlySharedMemoryBase : Uint8B

'O / S > Window' 카테고리의 다른 글

Windows 10 _HANDLES_TABLE, _HADNLES_TABLE_ENTRY (0)	2015.11.09
Control registers - wiki (0)	2015.11.07
_EPROCESS, _KPOCESS Windows 10 (0)	2015.11.05
System Overview (0)	2015.10.28
Memory.dmp (0)	2015.10.09

O / S /Window

_EPROCESS, _KPOCESS Windows 10

Kail-KM

|2015. 11. 5. 14:55

0:000> dt _EPROCESS

ntdll!_EPROCESS

+0x000 Pcb : _KPROCESS

+0x1b8 ProcessLock : _EX_PUSH_LOCK

+0x1bc RundownProtect : _EX_RUNDOWN_REF

+0x1c0 VdmObjects : Ptr32 Void

+0x1c4 UniqueProcessId : Ptr32 Void

+0x1c8 ActiveProcessLinks : _LIST_ENTRY

+0x1d0 Flags2 : Uint4B

+0x1d0 JobNotReallyActive : Pos 0, 1 Bit

+0x1d0 AccountingFolded : Pos 1, 1 Bit

+0x1d0 NewProcessReported : Pos 2, 1 Bit

+0x1d0 ExitProcessReported : Pos 3, 1 Bit

+0x1d0 ReportCommitChanges : Pos 4, 1 Bit

+0x1d0 LastReportMemory : Pos 5, 1 Bit

+0x1d0 ForceWakeCharge : Pos 6, 1 Bit

+0x1d0 CrossSessionCreate : Pos 7, 1 Bit

+0x1d0 NeedsHandleRundown : Pos 8, 1 Bit

+0x1d0 RefTraceEnabled : Pos 9, 1 Bit

+0x1d0 DisableDynamicCode : Pos 10, 1 Bit

+0x1d0 EmptyJobEvaluated : Pos 11, 1 Bit

+0x1d0 DefaultPagePriority : Pos 12, 3 Bits

+0x1d0 PrimaryTokenFrozen : Pos 15, 1 Bit

+0x1d0 ProcessVerifierTarget : Pos 16, 1 Bit

+0x1d0 StackRandomizationDisabled : Pos 17, 1 Bit

+0x1d0 AffinityPermanent : Pos 18, 1 Bit

+0x1d0 AffinityUpdateEnable : Pos 19, 1 Bit

+0x1d0 PropagateNode : Pos 20, 1 Bit

+0x1d0 ExplicitAffinity : Pos 21, 1 Bit

+0x1d0 ProcessExecutionState : Pos 22, 2 Bits

+0x1d0 DisallowStrippedImages : Pos 24, 1 Bit

+0x1d0 HighEntropyASLREnabled : Pos 25, 1 Bit

+0x1d0 ExtensionPointDisable : Pos 26, 1 Bit

+0x1d0 ForceRelocateImages : Pos 27, 1 Bit

+0x1d0 ProcessStateChangeRequest : Pos 28, 2 Bits

+0x1d0 ProcessStateChangeInProgress : Pos 30, 1 Bit

+0x1d0 DisallowWin32kSystemCalls : Pos 31, 1 Bit

+0x1d4 Flags : Uint4B

+0x1d4 CreateReported : Pos 0, 1 Bit

+0x1d4 NoDebugInherit : Pos 1, 1 Bit

+0x1d4 ProcessExiting : Pos 2, 1 Bit

+0x1d4 ProcessDelete : Pos 3, 1 Bit

+0x1d4 ControlFlowGuardEnabled : Pos 4, 1 Bit

+0x1d4 VmDeleted : Pos 5, 1 Bit

+0x1d4 OutswapEnabled : Pos 6, 1 Bit

+0x1d4 Outswapped : Pos 7, 1 Bit

+0x1d4 FailFastOnCommitFail : Pos 8, 1 Bit

+0x1d4 Wow64VaSpace4Gb : Pos 9, 1 Bit

+0x1d4 AddressSpaceInitialized : Pos 10, 2 Bits

+0x1d4 SetTimerResolution : Pos 12, 1 Bit

+0x1d4 BreakOnTermination : Pos 13, 1 Bit

+0x1d4 DeprioritizeViews : Pos 14, 1 Bit

+0x1d4 WriteWatch : Pos 15, 1 Bit

+0x1d4 ProcessInSession : Pos 16, 1 Bit

+0x1d4 OverrideAddressSpace : Pos 17, 1 Bit

+0x1d4 HasAddressSpace : Pos 18, 1 Bit

+0x1d4 LaunchPrefetched : Pos 19, 1 Bit

+0x1d4 Background : Pos 20, 1 Bit

+0x1d4 VmTopDown : Pos 21, 1 Bit

+0x1d4 ImageNotifyDone : Pos 22, 1 Bit

+0x1d4 PdeUpdateNeeded : Pos 23, 1 Bit

+0x1d4 VdmAllowed : Pos 24, 1 Bit

+0x1d4 ProcessRundown : Pos 25, 1 Bit

+0x1d4 ProcessInserted : Pos 26, 1 Bit

+0x1d4 DefaultIoPriority : Pos 27, 3 Bits

+0x1d4 ProcessSelfDelete : Pos 30, 1 Bit

+0x1d4 SetTimerResolutionLink : Pos 31, 1 Bit

+0x1d8 CreateTime : _LARGE_INTEGER

+0x1e0 ProcessQuotaUsage : [2] Uint4B

+0x1e8 ProcessQuotaPeak : [2] Uint4B

+0x1f0 PeakVirtualSize : Uint4B

+0x1f4 VirtualSize : Uint4B

+0x1f8 SessionProcessLinks : _LIST_ENTRY

+0x200 ExceptionPortData : Ptr32 Void

+0x200 ExceptionPortValue : Uint4B

+0x200 ExceptionPortState : Pos 0, 3 Bits

+0x204 Token : _EX_FAST_REF

+0x208 WorkingSetPage : Uint4B

+0x20c AddressCreationLock : _EX_PUSH_LOCK

+0x210 PageTableCommitmentLock : _EX_PUSH_LOCK

+0x214 RotateInProgress : Ptr32 _ETHREAD

+0x218 ForkInProgress : Ptr32 _ETHREAD

+0x21c CommitChargeJob : Ptr32 _EJOB

+0x220 CloneRoot : _RTL_AVL_TREE

+0x224 NumberOfPrivatePages : Uint4B

+0x228 NumberOfLockedPages : Uint4B

+0x22c Win32Process : Ptr32 Void

+0x230 Job : Ptr32 _EJOB

+0x234 SectionObject : Ptr32 Void

+0x238 SectionBaseAddress : Ptr32 Void

+0x23c Cookie : Uint4B

+0x240 WorkingSetWatch : Ptr32 _PAGEFAULT_HISTORY

+0x244 Win32WindowStation : Ptr32 Void

+0x248 InheritedFromUniqueProcessId : Ptr32 Void

+0x24c LdtInformatioyn : Ptr32 Void

+0x250 OwnerProcessId : Uint4B

+0x254 Peb : Ptr32 _PEB

+0x258 Session : Ptr32 Void

+0x25c AweInfo : Ptr32 Void

+0x260 QuotaBlock : Ptr32 _EPROCESS_QUOTA_BLOCK

+0x264 ObjectTable : Ptr32 _HANDLE_TABLE

+0x268 DebugPort : Ptr32 Void

+0x26c PaeTop : Ptr32 Void

+0x270 DeviceMap : Ptr32 Void

+0x274 EtwDataSource : Ptr32 Void

+0x278 PageDirectoryPte : Uint8B

+0x280 ImageFileName : [15] UChar

+0x28f PriorityClass : UChar

+0x290 SecurityPort : Ptr32 Void

+0x294 SeAuditProcessCreationInfo : _SE_AUDIT_PROCESS_CREATION_INFO

+0x298 JobLinks : _LIST_ENTRY

+0x2a0 HighestUserAddress : Ptr32 Void

+0x2a4 ThreadListHead : _LIST_ENTRY

+0x2ac ActiveThreads : Uint4B

+0x2b0 ImagePathHash : Uint4B

+0x2b4 DefaultHardErrorProcessing : Uint4B

+0x2b8 LastThreadExitStatus : Int4B

+0x2bc PrefetchTrace : _EX_FAST_REF

+0x2c0 LockedPagesList : Ptr32 Void

+0x2c8 ReadOperationCount : _LARGE_INTEGER

+0x2d0 WriteOperationCount : _LARGE_INTEGER

+0x2d8 OtherOperationCount : _LARGE_INTEGER

+0x2e0 ReadTransferCount : _LARGE_INTEGER

+0x2e8 WriteTransferCount : _LARGE_INTEGER

+0x2f0 OtherTransferCount : _LARGE_INTEGER

+0x2f8 CommitChargeLimit : Uint4B

+0x2fc CommitCharge : Uint4B

+0x300 CommitChargePeak : Uint4B

+0x304 Vm : _MMSUPPORT

+0x384 MmProcessLinks : _LIST_ENTRY

+0x38c ModifiedPageCount : Uint4B

+0x390 ExitStatus : Int4B

+0x394 VadRoot : _RTL_AVL_TREE

+0x398 VadHint : Ptr32 Void

+0x39c VadCount : Uint4B

+0x3a0 VadPhysicalPages : Uint4B

+0x3a4 VadPhysicalPagesLimit : Uint4B

+0x3a8 AlpcContext : _ALPC_PROCESS_CONTEXT

+0x3b8 TimerResolutionLink : _LIST_ENTRY

+0x3c0 TimerResolutionStackRecord : Ptr32 _PO_DIAG_STACK_RECORD

+0x3c4 RequestedTimerResolution : Uint4B

+0x3c8 SmallestTimerResolution : Uint4B

+0x3d0 ExitTime : _LARGE_INTEGER

+0x3d8 ActiveThreadsHighWatermark : Uint4B

+0x3dc LargePrivateVadCount : Uint4B

+0x3e0 ThreadListLock : _EX_PUSH_LOCK

+0x3e4 WnfContext : Ptr32 Void

+0x3e8 Spare0 : Uint4B

+0x3ec SignatureLevel : UChar

+0x3ed SectionSignatureLevel : UChar

+0x3ee Protection : _PS_PROTECTION

+0x3ef HangCount : UChar

+0x3f0 Flags3 : Uint4B

+0x3f0 Minimal : Pos 0, 1 Bit

+0x3f0 ReplacingPageRoot : Pos 1, 1 Bit

+0x3f0 DisableNonSystemFonts : Pos 2, 1 Bit

+0x3f0 AuditNonSystemFontLoading : Pos 3, 1 Bit

+0x3f0 Crashed : Pos 4, 1 Bit

+0x3f0 JobVadsAreTracked : Pos 5, 1 Bit

+0x3f0 VadTrackingDisabled : Pos 6, 1 Bit

+0x3f0 AuxiliaryProcess : Pos 7, 1 Bit

+0x3f0 SubsystemProcess : Pos 8, 1 Bit

+0x3f0 IndirectCpuSets : Pos 9, 1 Bit

+0x3f0 InPrivate : Pos 10, 1 Bit

+0x3f4 DeviceAsid : Int4B

+0x3f8 SvmData : Ptr32 Void

+0x3fc SvmProcessLock : _EX_PUSH_LOCK

+0x400 SvmLock : Uint4B

+0x404 SvmProcessDeviceListHead : _LIST_ENTRY

+0x410 LastFreezeInterruptTime : Uint8B

+0x418 DiskCounters : Ptr32 _PROCESS_DISK_COUNTERS

+0x41c PicoContext : Ptr32 Void

+0x420 KeepAliveCounter : Uint4B

+0x424 NoWakeKeepAliveCounter : Uint4B

+0x428 HighPriorityFaultsAllowed : Uint4B

+0x42c InstrumentationCallback : Ptr32 Void

+0x430 EnergyValues : Ptr32 _PROCESS_ENERGY_VALUES

+0x434 VmContext : Ptr32 Void

+0x438 Silo : Ptr32 _ESILO

+0x43c SiloEntry : _LIST_ENTRY

+0x448 SequenceNumber : Uint8B

+0x450 CreateInterruptTime : Uint8B

+0x458 CreateUnbiasedInterruptTime : Uint8B

+0x460 TotalUnbiasedFrozenTime : Uint8B

+0x468 LastAppStateUpdateTime : Uint8B

+0x470 LastAppStateUptime : Pos 0, 61 Bits

+0x470 LastAppState : Pos 61, 3 Bits

+0x478 SharedCommitCharge : Uint4B

+0x47c SharedCommitLock : _EX_PUSH_LOCK

+0x480 SharedCommitLinks : _LIST_ENTRY

+0x488 AllowedCpuSets : Uint4B

+0x48c DefaultCpuSets : Uint4B

+0x488 AllowedCpuSetsIndirect : Ptr32 Uint4B

+0x48c DefaultCpuSetsIndirect : Ptr32 Uint4B

0:000> dt _KPROCESS

ntdll!_KPROCESS

+0x000 Header : _DISPATCHER_HEADER

+0x010 ProfileListHead : _LIST_ENTRY

+0x018 DirectoryTableBase : Uint4B

+0x01c LdtDescriptor : _KGDTENTRY

+0x024 Int21Descriptor : _KIDTENTRY

+0x02c ThreadListHead : _LIST_ENTRY

+0x034 ProcessLock : Uint4B

+0x038 DeepFreezeStartTime : Uint8B

+0x040 Affinity : _KAFFINITY_EX

+0x098 ReadyListHead : _LIST_ENTRY

+0x0a0 SwapListEntry : _SINGLE_LIST_ENTRY

+0x0a4 ActiveProcessors : _KAFFINITY_EX

+0x0fc AutoAlignment : Pos 0, 1 Bit

+0x0fc DisableBoost : Pos 1, 1 Bit

+0x0fc DisableQuantum : Pos 2, 1 Bit

+0x0fc DeepFreeze : Pos 3, 1 Bit

+0x0fc TimerVirtualization : Pos 4, 1 Bit

+0x0fc CheckStackExtents : Pos 5, 1 Bit

+0x0fc SpareFlags0 : Pos 6, 2 Bits

+0x0fc ActiveGroupsMask : Pos 8, 20 Bits

+0x0fc ReservedFlags : Pos 28, 4 Bits

+0x0fc ProcessFlags : Int4B

+0x100 BasePriority : Char

+0x101 QuantumReset : Char

+0x102 Visited : UChar

+0x103 Flags : _KEXECUTE_OPTIONS

+0x104 ThreadSeed : [20] Uint4B

+0x154 IdealNode : [20] Uint2B

+0x17c IdealGlobalNode : Uint2B

+0x17e Spare1 : Uint2B

+0x180 IopmOffset : Uint2B

+0x184 SchedulingGroup : Ptr32 _KSCHEDULING_GROUP

+0x188 StackCount : _KSTACK_COUNT

+0x18c ProcessListEntry : _LIST_ENTRY

+0x198 CycleTime : Uint8B

+0x1a0 ContextSwitches : Uint8B

+0x1a8 FreezeCount : Uint4B

+0x1ac KernelTime : Uint4B

+0x1b0 UserTime : Uint4B

+0x1b4 VdmTrapcHandler : Ptr32 Void

'O / S > Window' 카테고리의 다른 글

Control registers - wiki (0)	2015.11.07
_TEB, _PEB Windows 10 (0)	2015.11.05
System Overview (0)	2015.10.28
Memory.dmp (0)	2015.10.09
Jump List App ID (0)	2015.09.27

O / S /Window

System Overview

Kail-KM

|2015. 10. 28. 19:59

System Overview

이번 장에서는 메모리 분석에 영향을 미치는 하드웨어 컴포넌트와 운영체제의 구조에 대한 일반적인 개요를 설명할 것이다. 비록 이번 챕터 이후부터는 운영체제의 부분적인 면과 연관되어 자세히 해당 요소들을 설명할 것이지만, 이번 장에서는 기존 지식에 대한 상기나 간단한 기초에 대해 유용한 배경지식을 줄 것이다.

Digital Environment

이 책은 디지털 환경에서 발생되는 이벤트의 분석에 초점이 맞추어져 있다. 물리적인 세계에선 물리적 세계에 대한 지식을 적용하여 조사자들은 조사와 얼마나 혹은 어떻게 특정한 아티팩트들이 관련지어는가에 대한 시야를 얻을 수가 있다. 유사하게 디지털 환경에서는 특정한 명령어로 실행될 수 있는 명령어나 접근될 수 있는 리소스에 대해 이야기 할 수가 있다. 특정한 시스템의 하드웨어 컴포넌트와 이러한 컴포넌트에 의한 충격를 확인할 수 있는 조사자들은 효과적인 조사를 함에 있어서 최고의 포지션을 가지고 분석을 할 수가 있다.

대부분의 플렛폼에서 하드웨어는 프로세스와 리소스 관리 외부장치와의 의사소통을 다루는 운영체제에 의하여 접근된다. 운영체제는 low-level로 특정한 프로세서나 장치, 시스템에 설치된 메모리 하드웨어를 처리해야만 한다. 일반적으로 운영체제는 high-level 서비스와 유저프로그램에 의하여 하드웨어가 어떻게 접근될 수 있는지를 정의한 인터페이스로 구성되어 있다.

조사 중에 소프트웨어나 유저가 디지털환경에 생성한 아티팩트를 발견하거나 어떻게 디지털 환경이 해당 아티팩트에 의하여 변화하였는지를 볼 수가 있을 것이다. 시스템의 하드웨어와 운영체제와 친숙한 디지털 조사자들은 이벤트 재구성이나 분석에 있어서 참고하기에 좋은 프레임을 제공한다.

PC Architecture

이번 섹션에서는 메모리 포렌식에 흥미가 있거나 친숙해지고자하는 기초 하드웨어 조사에 대한 전체적인 개요를 설명할 것이다. 특히, PC의 일반적인 하드웨어 구조에 초점을 맞출 것이며 주로 인텔 기반 시스템과 관련된 용어들을 사용할 것이다. 이러한 용어는 계속 변화하고ㅁ 있으며 상세한 구현은 지속적으로 비용 및 성능을 향상시키기 위해 발전하고 있다. 비록 특정 기술들은 변화하지만 그러한 주요 기능들은 여전히 같은 상태로 남아있다.

Physical Organization

PC는 다양한 컴포넌트들이 상호연결할 수 있게하며 주변 장치를 위한 커넥터를 제공하는 인쇄 회로 기판으로 구성된다. 이러한 유형의 시스템에서의 메인보드는 의사소통을 위한 시스템의 컴포넌트의 연결을 가능하게 제공한다.이러한 의사소통 채널들은 일반적으로 Computer Busses로 언급이 되며 이번 섹션에서는 조사자들이 친숙해져야만 하는 버스들과 컴포넌트에 초점을 맞출 것이다. Figure 1-1은 이 절에서 설명할 것이 어떻게 일반적으로 구성되어 있는지를 나타내고 있다.

CPU and MMU

마더보드에 있어서 가장 중요한 두가지 컴포넌트는 프로그램을 실행시키는 프로세서와 임시적으로 실행된 프로그램을 저장하고 있거나 그들의 데이터와 연관된 메인 메모리이다. 프로세서는 공통적으로 Central Processing Unit(CPU)라 언급이 되며 이러한 CPU는 메인 메모리의 명령어를 얻기 위하여 접근을 하거나 이러한 명령어를 실행시키고자 할 때 접근한다.

메인 메모리로부터 읽는 것은 종종 CPU 자체의 메모리로부터 읽는 것보다 극단적으로 느리다고 할 수 있다. 그 결과 현대의 시스템은 이러한 상이한 차이를 상쇄하는데 도움을 주는 Caches라 하는 여러 빠른 메모리층을 활용하였다.각 캐시의 레벨(L1와 L2 등등)은 해당 이전 것보다 상대적으로 느리며 크다고 할 수 있다. 대부분의 시스템에서 이러한 캐시는 프로세서나 각 핵심 안에 내장되어 있다. 만약 데이터가 캐시에서 발견되지 않는다면, 데이터는 다음 레벨의 캐시나 메인메모리부터 패치가 될 것이다.

CPU는 데이터가 어디에 저장되어 있는지를 돕기 위하여 memory management unit(MMU)에 의존한다.MMU는 프로세서가 메모리에서 요청하는 해당 주소를 변환하는 하드웨어 유닛이다. 이 장의 뒷부분에서 설명된 바와 같이, 주소 변환을 위한 데이터 구조는 메인메모리에 저장이 되어 있다. 주어진 변환 작업은 여러 메모리 읽기 작업을 요구할 수 있기 때문에 프로세서는 TLB라는 특별한 캐시를 사용한다. (* TLB를 이용하여 MMU가 가상주소를 물리주소로 변환시킴). 각각의 메모리 접근에 앞서 TLB는 비용이 많이 드는 주소 변환 작업을 MMU가 하기 전에 컨설트를 진행한다. 챕터 4에서 어떻게 캐시나 TLB가 메모리 증거에 있어 포렌식 어퀴지션에 영향을 미치는지를 좀더 자세하게 언급을 할 것이다.

North and Southbridge

CPU는 메인 메모리와 소통을 관리하는데 있어서 메모리 컨트롤러에 의존하게 된다. 이러한 메모리 컨트롤러는 프로세서들과 장치들로부터 시스템 메모리에 동시에 요구되는 요소의 중재를 책임지고 있으며 프로세서 안에서 통합된거나 분리된 칩으로 구성될 수 있다. 오래된 PC에서는CPU는 프론트-사이드-버스를 사용하는 northbridge와 연결되었고 이러한 northbridge는 메모리 버스를 통해 메인 메모리와 연결이 되었다. 네트워크 카드나 디스크 컨트롤러와 같은 장치들은 southbridge나 I/O 컨트롤러 허브라 불리는 다른 칩을 통하여 연결이 되었으며 이러한 허브는 CPU와 메모리에 접근하기 위해 노스브리지에 단일로 연결되었다.

성능의 향상이나 새로운 시스템들의 비용을 줄이는 것은 현재 프로세서와 통합된 메모리 컨트롤러와 연관된 중요한 기능이다. 이전 사우스 브리지에서 구현된 나머지 칩셋들은 플랫폼 컨트롤러 허브라 잘 알려준 칩으로 고려된다.

Direct Memory Access(DMA)

전체적인 기능의 향상을 위해서 대부분의 현대 시스템은 I/O 장치들에게 프로세서의 개입 없이 시스템 메모리에 저장된 데이터를 직접 변환하는 기능을 제공하고 있다. 이러한 기능은 direct memory access(DMA)라 뷸린다. DMA가 속되기 전에 CPU는 I/O 변환이나 중개의 역할을 하는데 전체적을 사용되었다. 하지만 현대의 아키텍처에서 CPU는 데이터 변환을 시작하거나 데이터 변환을 위하여 DMA 컨트롤러를 허용하거나 혹은 I/O 장치가 CPU로부터 독립적으로 실행될 수 있게 한다.

게다가 시스템 퍼포먼스에 있어서 그것은 명백히 영향을 주는데, DMA는 메모리 포렌식에 있어서 중요한 파급효과를 갖는다. 이는 기계에서 동작중인 신뢰할 수 없는 소프트웨어를 포함하지 않는 주변 장치로부터 물리적인 메모리의 내용에 대해 직접 접근할 수 있는 메커니즘을 제공한다. 예를 들어 PCI 버스는 장치들이 변환을 시작하도록 하는 버스의 조정을 요구할 수 있는 버스 마스터를 실행할 수 있는 장치들을 지원한다. 그 결과 버스마스터 기능 및 DMA를 지원하는 PCI 장치는 CPU를 포함하지 않고 시스템 메모리에 액세스 할 수 있다.

다른 예로 IEEE 1394 인터페으스는 공통적으로 방화벽에 대하여 언급한다. 이 IEEE 1394 호스트 컨트롤러 칩은 주변 장치와 빠른 속도로 연결될 수 있도록 확정된 peer-to-peer 시리얼을 제공한다. IEEE1394 인터페이스가 일반적으로 higher-end systems에서 나타남에도 불구하고 우리는 확장된 카드를 사용하는 노트북이나 데스크탑을 인터페이스에 추가할 수가 있다.

Volatile Memory (RAM)

PC의 메인 메모리는 프로세서가 접근하거나 저장할 수 있는 데이터나 코드들을 저장하고 있는 random access memory(RAM)과 함께 구성이 된다. 연속적으로 저장장치에 접근하는 디스크와는 대조적으로, 매체에서 데이터가 어디에 저장되어 있는지에 상관 없이 일저안 접근 시간을 갖는 기능을 하는 것이 바로 임의 접근이다. 대부분의 PC의 메인 메모리는 Dynamic RAM(DRAM)의 형태를 갖고 있다. 그것은 데이터의 한 비트의 저장을 위한 축전기의 배출과 충전의 사이에서 차이를 갖기에 동적이다. 이러한 상태를 유지하기 위하여 축전기는 "refreshed" 되어야만 하며 이는 일반적으로 메모리 컨트롤러에서 진행한다.

RAM은 접근할 수 있는 데이터를 유지하기 위해서는 전원이 요구되기 때문에 휘발성 메모리라 할 수 있다. 그러므로 콜드 부트 공격의 경우를 제외하고는 전원이 차단되면 휘발성 메모리는 손실된다. 이는 시스템의 현재 상태와 관련이 되는 증거를 보존하고자 한다면 "전원을 뽑아"라는 말이 사고대응에서 적절치 못하다고 할 수 있는 이유이다.

CPU Architectures

이전에 언급한 바와 같이 CPU는 컴퓨터 시스템의 가장 중요한 요소이다. 악성코드가 컴퓨터 보안과 어떻게 타협하는지에 대한 이해와 물리 메모리로부터 구조를 효율적으로 추출하기 위해 메모리 접근을 위해 CPU가 제공하는 프로그래밍 모델에 대한 이해가 필요하다. 비록 이전의 섹션에서 하드웨어의 물리구조에 초점을 맞추었다면 이번 섹션에서는 운영체제에 드러나는 논리구조에 초점을 맞출 것이다. 이번 섹션은 메모리 분석을 위하여 밝혀진 몇가지 기능들에 강조를 할 것이며 CPU 구조와 관련된 몇가지 주제에 대한 언급으로 시작할 것이다. 특히, 해당 섹션에서는 32-bit(IA-32)와 64-bit(Intel 64) 구조에 초점을 맞출 것이다.

Address Spaces

CPU가 메인 메모리에 저장되어 있는 데이터에 접근하거나 명령어를 실행시키기 위하여 그 데이터의 유니크한 주소에 대하여 지정하여야만 한다. 이 책에서 논의되는 프로세서는 바이트 시퀀스로서 메모리에 접근되거나 바이트 어드레싱을 활용한다. 주소공간은 메모리에 한정된 만큼 할당되어 저장된 데이터의 확인을 위하여 사용되는 다양한 주소의 범위를 나타낸다.특히 이 책에서는 8-bit(1Byte)로 정의된 시스템에 초점을 맞추고 있으며 이러한 주소체계는 일반적으로 0으로 시작해서 할당 메모리의 마지막 바이트의 오프셋에서 끝을 보인다. 실행중인 프로그램에 노출된 단일 연속된 주소 공간은 선형 주소 공간이라고 불린다. 이 책에서 언급되는 메모리 모델과 그들이 사용하는 페이징에 기초하여 우리는 가상 주소와 선형 주소라는 용어를 사용한다. 우리는 프로세서가 실제 메모리에 액세스 요청하는 주소를 물리적인 물리적인 주소 공간이라는 용어를 사용한다. 이 주소들은 선형 주소를 물리주소로 변환하거나 하나 또는 그 이상의 페이지 테이블을 사용하여 얻어진다. 이후의 섹션에서는 어떻게 메모리 주소 공간이 다른 프로세서 구조에서 구성이 되는지에 대하여 이야기 할 것이다. (+ raw와 padded 메모리 덤프를 다룰 때, 물리 주소는 본질적으로 메모리 덤프 파일에서 오프셋으로 나타낸다.)

Intel IA-32 Architecture

IA-32구조는 공통적으로 32비트 컴퓨테이션을 지원하는 x86 구조를 참고한다. 특히 이는 명령어 셋과 인텔 32비트 프로세스를 위한 프로그래밍 환경을 지정한다. IA-32에서는 바이트 어드레싱에서 리틀 엔디언 메커니즘을 사용하며 IA-32 프로세서에서 동작중인 소프트웨어는 선형 주소 공간과 물리 주소 공간을 4GB까지 갖을 수가 있고, 이후에 볼 수 있듯이 IA-32 Physical Address Extension(PAE)에서는 물리 주소의 크기를 64GB까지 확장할 수가 있다. 이번 섹션과 이 책의 나머지 부분에서는 가상 메모리와 페이징, 특권 권하느 세그멘테이션과 같은 긴능을 지원하는 IA-32구조의 protected-mode 작업에 초점을 맞출 것이다. 이것은 프로세서와 현대 실행되는 운영체제에서의 기본 상태이다.

Registers

IA-32 구조에서는 CPU가 프로세싱에서 임시 저장공간으로 사용하는 레지스터라 불리는 매우 빠른 메모리의 작은 규모를 정의하고 있다.각 프로세서의 핵심은 지역적, 여ㄴ산적 몇몇 레지스터들은 프로세서의 행동을 조정하는데에 목적을 두고 있다.

EIP 레지스터는 다음에 실행될 명령어의 선형주소를 포함하고 있으며 IA-32 구조는 프로세서와 실행중인 작업의 특성의 상태를 나타내는 다섯 개의 컨트롤 레지스터들이 존재한다. CR0은 페이징 가능한 플래그를 포함한 프로세서의 운영 모드를 조정하는 플래그를 포함하고 있으며 CR1은 접근할 수 없는 예악된 공간이며 CR2는 페이지 폴트로 야기되는 선형주소를 포함하고 있다. CR3는 주소 변환에 사용 되는 초기 구조의 물리적인 주소를 포함하고 있으며 이는 새로운 작업이 스케쥴 될 때 내용이 스위치 되는 동안에 업데이트 된다. CR4는 PAE를 포함한 건축 확장을 가능하게 하기 위하여 사용 된다.

Segmentation

IA-32 프로세스는 두개의 메모리 관리 메커니즘을 구현한다. 하나는 세그멘테이션이고 다른 하나는 페이징이다. 우선 세그멘테이션에 대하여 먼저 알아보면 세그멘테이션은 32-bit 선형 주소를 여러개의 다양한 길이의 세그먼트로 나눈세그먼트에 의해 구분된 다. 모든 IA-32메모리 참고는 16비트의 세그먼트 셀렉터와 32비트 오프셋를 사용하여 어드레스된다. 세그먼트 디스크립터는 주어진 세그먼트에 따른 권한과 유형, 사이즈, 지역을 정의한는 메모리 레지던트 데이터 구조이다. 각 프로세서의 핵심은 각각 GDT와 LDT라 불리는 세그먼트 디스크립터들의 테이블을 가리키는 GDTR과 LDTR을 포함한다. CS, SS, DS, ES, FS, GS와 같은 세그먼트 레지스터들은 항상 다양한 세그먼트 셀렉터들을 포함하고 있다.

세그멘테이션이 필수 적인 반면에 이 책에서 언급되는 운영 체제들은 베이스 어드레스 제로와 함께 중복된 세그먼트의 집합을 정의하므로 세그먼트 어드레싱을 감춘다. 이에 의해 단일 연속 "flat" 어드레스 공간을 만든다. 하지만 세그멘테이션 보호는 여전히 각 세그먼트를 위하여 강요되며 분리된 세그먼트 디스크립터들은 데이터와 코드를 참고할때 사용되어야만 한다.

* 대부분의 운영체제들이 IA-32 세그멘테이션 모델의 많은 장점을 더이상 갖지 않기 때문에 분리된 어드레싱은 64 비트 모델에서는 사용할 수가 없다.

Paging

페이징은 선형 주소 공간의 가상화 기능을 제공한다. 이는 디스크 저장소와 물리 메모리의 거대한 규모와 함께 가상화된 거대한 선형 주소 공간 실행 환경을 생성한다. 각 32비트 선형 주소 공간은 임의의 순서로 메모리에 맵핑 될 수 있는 페이지라는 고정된 길이 공간의 섹션으로 나누어 진다. 프로그램이 선형 주소에 접근을 시도할 때, 이러한 맵핑은 선형 주소를 물리 주소로 변환하는데 사용하는 메모리 레지던트 page directories와 page table을 사용한다. Fihure 1-2에서와 같이 4KB 페이지의 일반적인 시나리오에서는 32비트 가상 주소는 물리 페이지와 연관이 있거나 페이징 계층 구조에서 인덱스로서 사용되는 세 부분의 섹션으로 나누어진다.

또한 IA-32 구조에서는변환에 있어 페이지 디렉터리를 요구하는 4MB의 페이지를 지원한다. 다른 프로세스를 위해 다른 페이징 구조를 사용하는 것은 운영체제가 가상화된 선형 주소 공간을 통한 단일-프로그램 환경의 특성을 가진 각 프로세스를 제공하게 할 수 있다. Figure 1-3에서는 물리 주소에서 오프셋으로 가상 주소가 변환된 비트에 대하여 확인할 수가 있다.

page directory entry(PDE) 주소를 선정하는 것은 가상 주소로 부터 31:22비트와 CR3 레지스터로부터 31:12비트를 조합하여야 한다. 게다가 PDE로부터 31:12비트와 가상 주소의 21:12 비트를 결합하여 PTE를 위치시켜야 한다.마지막으로 PTE의 31:12비트와 가상 주소의 11:0비트를 결합하므로 물리주소를 얻을 수가 있다. 이렇게 매뉴얼로 주소를 변환하는 작업으로서 다음 섹션에 적용된 계산을 볼 수가 있을 것이다.

Address Translation

가상 메모리를 제공하는 CPU 구조의 완전한 지원을 위해서, 볼라틸리티 같은 메모리 포렌식 소프트웨어는 가상 주소 공간을 계산하여야만 하고, 자연스럽게 가상주소에서 물리주소의 변환을 다룰 수 있어야 한다. 수동으로 주소 변환을 하는 것은 어떻게 해당 툴이 동작하는지 이해하는 것과 예상치 못한 동작의 발생 대처에 대한 배경지식을 굳건히 하는데 도움을 줄 것이다.

NOTE

볼라틸리에서 주소를 변환할 때 사용하는 파이썬 클래스는 vtop(virtual to physical)이라는 것으로 밝혀졌다. 여기서 호출자들은 가상 주소를 입력해주고 리턴 값으로 이 섹션에서 설명된 단계를 사용하여 물리주소의 오프셋을 받게 될 것이다. 마찬가지로 만약 WinDBG를 통해 작업 중이라면 !vtop 명령어를 사용할 수가 있다.

이러한 작업을 위하여 ENG-USTXHOU-148을 분석중이라 가정할 것이다. 분석을 하는 동안 가상주소 0x10016270에 대한 참조를 발견하고 PID 1024의 svchost.exe안에 있다는 것을 확인하였다. 이 PID 1024의 CR3에 기초한 페이지 디렉터리는 0x7401000 이다. 이 때 우리는 가까운 근접 공간에 있는 다른 데이터가 무엇인지를 보여주는 물리주소를 찾고자 한다.

첫 단계로 0x10016270이라는 가상 주소는 주소비트 범위를 가지고 진행을 할 것이기 때문에 헥사값을 바이너리의 형태로 변환하여야 한다. 이를 변환하면 다음과 같다. 0001 0000 0000 0001 0110 0010 0111 0000

다음으로는 변환 과정에서 사용하는 관련된 오프셋으로 주소를 분해하여야 한다. 이에 대해서는 아래의 테이블 1-1과 같다.

그림 1-2와 1-3에서 보았듯이 PDE의 물리 주소를 4바이트의 엔트리 사이즈에 의한 페이지 디렉터리 인덱스를 곱하여서 계산해야하고 그런 다음 페이지 디렉터리 베이스 0x7401000을 더하여야 한다. 가상 주소로 부터의 10비트는 페이지디렉터리에서 1024엔트리까지 나타낼 수가 있다.

PDE address = 0x40 * 4 + 0x7401000 = 0x7401100

이 다음, PDE address에 저장된 물리주소로 부터의 값을 읽을 수 있어야 하며 여기선 값이 리틀 엔디언 방식으로 저장되어 있다는 것을 고려하여야 한다. 이 지점에서, PDE의 값이 0x17bf9067이라 할 것이다. 그림 1-3에 기초하여 PDE의 31:12 비트는 페이지 테이블의 베이스 물리 주소를 제공한다는 것을 알 수가 있으며 가상 주소의 21:12비트는 1024(2^10) 엔트리의 페이지 테이블이 구성되어 있기 때문에 페이지 테이블 인덱스를 제공한다. 이제 페이지 테이블에 따른 4바이트의 엔트리 크기를 PTE의 물리주소에 곱하여야 하며 그런 후 페이지 테이블 베이스를 더하여야 한다.

PTE address = 0x16 * 4 + 0x17bf9000 = 0x17bf9058

PTE의 값은 0x170b6067에 저장되어 있다할 때, 그림 1-3에서와 같이 우리는 PTE로부터 물리주소가 31:12과 가상주소 11:0비트에서 오는 것을 알 수가 있다. 그러므로 마지막 물리주소 변환은 다음과 같다.

Physical address = 0x170b6000 + 0x270 = 0x170b6270

이러한 변환을 끝낸 후에 우리는 가상주소 0x10016270이 물리주소 0x170b6270으로 변환되어 있는 것을 확인할 수가 있다. 아래의 그림 1-4는 이러한 과정들이 포함되어 그래피컬하게 나타낸 것이다. 이러한 메모리 샘플에서 바이트 오프셋을 찾을 수가 있고 이에 근접한 관련 아티팩트를 찾을 수가 있다. 이것은 항상 가상 주소에서 접근되어지는 볼라틸리티의 IA32PageMemory와 같은 프로세스이다. 다음 내용에서 , 어떻게 프로세스가 더 큰 가상주소공간을 지원하기 위해 확장하는지를 볼 수가 있다. 이에 대한 전반적인 과정은 그림 1-4를 참고하면 된다.

NOTE

이 책에서 언급되는 모든 세가지 형태의 페이징 모드는에 대해 직접적으로 영향을 주는 페이징 구조 에트리에 저장되어 있는 두개의 비트 또한 중요하다. 주소 변환 프로세스는 페이징 구조 엔트리가 'not present'와 같이 0으로 설정된다면 종료된다. PS 플래그가 설정될 때, 이는 다른 페이징 구조와 반대로 메모리의 페이지를 위치 시키기 위한 남은 비트를 가리킨다.

Physical Address Extension

IA-32 구조의 페이징 메카니즘은 PAE를 지원한다. 이 확장은 4GB보다 더 큰 물리주소를 지원하는 프로세서를 허용한다. 비록 프로그램이 여전히 4GB 이상의 선형주소를 소유하지만, 메모리 관리 유닛은 확장된 64GB 물리 주소 공간에 해당 주소를 맵핑한다. PAE를 사용할 수 있는 시스템에서는 선형 주소는 다음의 4가지 인덱스로 나누어 진다.

1. Page directory pointer table(PDPT) 2. Page directory(PD) 3. Page table(PT) 4. Page offset

그림 1-5는 32비트 PAE를 사용하여 4KB 페이지를 주소변환하는 예를 보여주고 있다. 여기서 주요 차이점은 페이지 디렉터리 포인터 테이블이라 불리는 페이징 구조 계층에서 이전과는 다른 단계가 소개되어진다는 점이다. 이러한 변경 사항을 감안할 때, CR3 레지스터는 현재 페이지 디렉터리 포인터 테이블의 물리주소를 포함하고 있다.

그림 1-6은 32비트 PAE 페이징에서 사용되는 페이징 구조 주소에 대한 포멧을 보여준다. PAE가 사용 가능할 때, 첫번째 페이징 테이블은 오직 4(2^2)엔트리이다. 가상주소로 부터의 31:30 해당 비트는 페이지 디렉터리 포인터 테이블 엔트리(PDPTE)를 선택한다. 29:21비트는 512(2^9)PDEs로부터 선택하기 위한 인덱스이다. 만약 PS 플래그가 설정되어 있다면, PDE는 2MB 페이지를 맵핑한다. 그렇지 않으면 20:12비트에서 추출한 9비트가 512(2^9) PTE들로부터 선택되어진다. 모든 엔트리가 사용가능하며 주소가 4KB로 맵핑된다고 가정할 때 가상주소의 마지막 12비트는 PA에 상응하는 페이지에 대한 오프셋을 지정한다.

Intel 64 Architecture

인텔 64구조에서의 실행환경은 IA-32와 유사하지만 몇 가지 다른 점이 존재한다. IA-32 구조에서 강조했던 레지스터들은 여전히 인텔 64구조에서도 존재하고 있긴 하지만 64비트로 확장되었다는 점이다. 가장 중요한 변화는 인텔 64가 64비트 선형주소를 지원한다는 점인데 그 결과, 인텔64구조는 2^64까지 확장된 주소를 지원한다. 이 글을 쓰는 시점에서 해당 구조의 가장 중요한 요점은 64비트 엔트리를 지원하지 못한다는 것이며 오직 48비트 선형주소를 지원한다는 것을 주의하여야 한다. 그 결과로 이러한 시스템에서의 가상주소는 규범적인 형태를 갖는다. 이는 63:48 비트가 앞의 47비트의 상태에 따라 모두 1이나 0으로 설정이된다는 것을 의미한다. 예를 들어 0xfffffa800ccc0b30이라는 주소는 47비트가 설정되어 있기 때문에 63:48 비트를 갖는다.(이 또한 부호확장으로 알려져 있다.)

메모리 포렌식에서 직접적인 영향을 갖기 때문에 이러한 메모리 관리의 변화에 초점을 맞추는 것은 중요하다. 가장 중요한 차이점은 페이지 맵 레벨 4(PML4)라 불리는 페이징 구조의 추가적인 단계를 현재 인텔 64 구조가 지원한다는 것이다. 페이징 구조 계층에서의 모든 엔트리는 64비트이며, 이것들은 1GB나 2MB나 4KB의 크기의 페이지로 가상주소에서 맵핑될 수 있다는 것이다. 아래의 그림 1-7은 64비트/IA-32e 페이징을 사용한 4KB 페이지를 변환하는 주소의 예를 보여준다.

그림 1-8은 64비트/IA-32e paging에서 사용되는 페이징 구조 주소에 대한 형태를 보여준다. 페이징 구조는 각 각 512엔트리(2^9)로 구성되며 이들은 48비트 가상주소로부터 얻어지는 다음의 범위에 따라 추출된 값에 의하여 나타내어진다.

PML4E offset : Bits 47:39, PDPTE offset : Bits 38:30, PDE offset : Bits 29:21, PTE offset : Bits 20:12

어떻게 다른 페이징 구조 엔트리 플래그가 모메리 포렌식에 영향을 미치는지에 대해 자세하게 궁금하다면, 인텔 매뉴얼이나 볼라틸리티 AMD64PagedMemory 주소 공간을 확인하는 것이 좋다.

Interrupt Descriptor Table

PC 아키텍처는 종종 특권 모드 소프트웨어 루틴을 조정하기 위해 컨트롤을 통과시키거나 프로세스 실행을 중단하기 위한 메커니즘을 제공한다. IA-32와 인텔 64구조에서는 이 루틴이 Interrupt Descriptor Table(IDT) 안에 저장되어 있다. 각 프로세서는 자신의 IDT는 256 8-바이트 또는 16-바이트엔트리로 구성되어 있으며 첫 32엔트리들은 예외와 인터럽트를 위해 정의된 프로세서에 대한 예약되어있다. 각 엔트리는 특정 예외나 인터럽트를 조정할 수 있는 Interrupt service routine의 주소를 포함하고 있다.이러한 예외나 인터럽트에 대한 이벤트에 있어서 지정된 인터럽트 번호는 IDT 인덱스의 역할을 하며 CPU는 각각의 핸들러를 호출한다.

대부분의 인터럽트 발생 후, 운영체제는 인터럽트 된 곳에서 실행을 재개할 것이다. 예를 들어, 만약 스레드가 사용할 수 없는 메모리 페이지에 접근하고자 시도한다면 이는 페이지 폴트를 생성한다. 0xE 핸예외 번호는 x86이나 인텔64구조에서 페이지 폴트를 조정한다. 그러므로, 0xE IDT 엔트리는 운영체제의 페이지 폴트 핸들러에 대해 나타내는 기능을 포함하고 있다. 페이지 폴트 핸들러가 실행되면 제어는 메모리 페이지에 접근하려는 스레드를 반환할 수 있다. 또한 운영체제는 시스템 콜이나 디버거 브레이크포인트나 다른 폴트들을 포함하는 수 많은 이벤트들에 대한 핸들러를 IDT에 저장하고 있다.

WARNING

IDT가 운영체제에 대해 행동할 때 이는 빈번하게 악성코드에 사용이 된다. 악성 소프트웨어는 엔트리를 리다이렉트하려고 시도하거나 핸들러 코드를 수정하거나 새로운 엔트리를 추가하거나 심지어 전체적인 새로운 인터럽트 테이블을 생성하기까지 시도한다.

'O / S > Window' 카테고리의 다른 글

_TEB, _PEB Windows 10 (0)	2015.11.05
_EPROCESS, _KPOCESS Windows 10 (0)	2015.11.05
Memory.dmp (0)	2015.10.09
Jump List App ID (0)	2015.09.27
OpenSCManager FAILED 5 Error (0)	2015.09.18

O / S /Window

Memory.dmp

Kail-KM

|2015. 10. 9. 22:35

Reference : http://blogs.technet.com/b/koreapartner/archive/2009/10/28/3289689.aspx

%Systemroot%\MEMORY.DMP file

'O / S > Window' 카테고리의 다른 글

_EPROCESS, _KPOCESS Windows 10 (0)	2015.11.05
System Overview (0)	2015.10.28
Jump List App ID (0)	2015.09.27
OpenSCManager FAILED 5 Error (0)	2015.09.18
KPROCESS struct (0)	2015.09.14

O / S /Window

Jump List App ID

Kail-KM

|2015. 9. 27. 14:28

http://www.forensicswiki.org/wiki/List_of_Jump_List_IDs

Application IDs

AppID	Application Description	Date Added	Source
65009083bfa6a094	(app launched via XPMode)	8/22/2011	Win4n6 List Serv
469e4a7982cea4d4	? (.job)	8/22/2011	Win4n6 List Serv
b0459de4674aab56	(.vmcx)	8/22/2011	Win4n6 List Serv
89b0d939f117f75c	Adobe Acrobat 9 Pro Extended (32-bit)	8/22/2011	Microsoft Windows 7 Forum
26717493b25aa6e1	Adobe Dreamweaver CS5 (32-bit)	8/22/2011	Microsoft Windows 7 Forum
e2a593822e01aed3	Adobe Flash CS5 (32-bit)	8/22/2011	Microsoft Windows 7 Forum
c765823d986857ba	Adobe Illustrator CS5 (32-bit)	8/22/2011	Microsoft Windows 7 Forum
84f066768a22cc4f	Adobe Photoshop CS5 (64-bit)	8/22/2011	Microsoft Windows 7 Forum
44a398496acc926d	Adobe Premiere Pro CS5 (64-bit)	8/22/2011	Microsoft Windows 7 Forum
23646679aaccfae0	Adobe Reader 9.	8/22/2011	Microsoft Windows 7 Forum
23646679aaccfae0	Adobe Reader 9 x64	8/22/2011	Win4n6 List Serv
d5c3931caad5f793	Adobe Soundbooth CS5 (32-bit)	8/22/2011	Microsoft Windows 7 Forum
7e4dca80246863e3	Control Panel (?)	8/22/2011	Win4n6 List Serv
5c450709f7ae4396	Firefox 3.6.13 (32-bit)	8/22/2011	Microsoft Windows 7 Forum
bc03160ee1a59fc1	Foxit PDF Reader 5.4.5	6/7/2013	[ChadTilbury]
28c8b86deab549a1	Internet Explorer 8 / 9 / 10 (32-bit)	8/22/2011	Microsoft Windows 7 Forum
5da8f997fd5f9428	Internet Explorer x64	8/22/2011	Win4n6 List Serv
83b03b46dcd30a0e	iTunes 10	8/22/2011	Win4n6 List Serv
271e609288e1210a	Microsoft Office Access 2010 x86	8/22/2011	Win4n6 List Serv
cdf30b95c55fd785	Microsoft Office Excel 2007	8/22/2011	Win4n6 List Serv
9839aec31243a928	Microsoft Office Excel 2010 x86	8/22/2011	Microsoft Windows 7 Forum
6e855c85de07bc6a	Microsoft Office Excel 2010 x64	6/7/2013	[ChadTilbury]
f0275e8685d95486	Microsoft Office Excel 2013 x86	3/4/2015	Russ Taylor
b8c29862d9f95832	Microsoft Office InfoPath 2010 x86	8/22/2011	Win4n6 List Serv
d64d36b238c843a3	Microsoft Office InfoPath 2010 x86	8/22/2011	Win4n6 List Serv
3094cdb43bf5e9c2	Microsoft Office OneNote 2010 x86	8/22/2011	Win4n6 List Serv
d38adec6953449ba	Microsoft Office OneNote 2010 x64	6/7/2013	[ChadTilbury]
be71009ff8bb02a2	Microsoft Office Outlook x86	8/22/2011	Win4n6 List Serv
5d6f13ed567aa2da	Microsoft Office Outlook 2010 x64	6/7/2013	[ChadTilbury]
f5ac5390b9115fdb	Microsoft Office PowerPoint 2007	8/22/2011	Win4n6 List Serv
9c7cc110ff56d1bd	Microsoft Office PowerPoint 2010 x86	8/22/2011	Microsoft Windows 7 Forum
5f6e7bc0fb699772	Microsoft Office PowerPoint 2010 x64	6/7/2013	[ChadTilbury]
a8c43ef36da523b1	Microsoft Office Word 2003 Pinned and Recent.	8/22/2011	Microsoft Windows 7 Forum
adecfb853d77462a	Microsoft Office Word 2007 Pinned and Recent.	8/22/2011	Microsoft Windows 7 Forum
a7bd71699cd38d1c	Microsoft Office Word 2010 x86	8/22/2011	Microsoft Windows 7 Forum
44a3621b32122d64	Microsoft Office Word 2010 x64	6/7/2013	[ChadTilbury]
a4a5324453625195	Microsoft Office Word 2013 x86	6/9/2014	[BretABennett]
12dc1ea8e34b5a6	Microsoft Paint 6.1	8/22/2011	Win4n6 List Serv
e70d383b15687e37	Notepad++ 5.6.8 (32-bit)	8/22/2011	Microsoft Windows 7 Forum
918e0ecb43d17e23	Notepad (32-bit)	8/22/2011	Microsoft Windows 7 Forum
9b9cdc69c1c24e2b	Notepad (64-bit)	8/22/2011	Microsoft Windows 7 Forum
c7a4093872176c74	Paint Shop Pro Pinned and Recent.	8/22/2011	Microsoft Windows 7 Forum
c71ef2c372d322d7	PGP Desktop 10	8/22/2011	Win4n6 List Serv
431a5b43435cc60b	Python (.pyc)	8/22/2011	Win4n6 List Serv
500b8c1d5302fc9c	Python (.pyw)	8/22/2011	Win4n6 List Serv
1bc392b8e104a00e	Remote Desktop	8/22/2011	Win4n6 List Serv
315e29a36e961336	Roboform 7.8	6/7/2013	[ChadTilbury]
17d3eb086439f0d7	TrueCrypt 7.0a	8/22/2011	Win4n6 List Serv
50620fe75ee0093	VMware Player 3.1.4	8/22/2011	Win4n6 List Serv
8eafbd04ec8631ce	VMware Workstation 9 x64	6/7/2013	[ChadTilbury]
6728dd69a3088f97	Windows Command Processor - cmd.exe (64-bit)	8/22/2011	Microsoft Windows 7 Forum
1b4dd67f29cb1962	Windows Explorer Pinned and Recent.	8/22/2011	Microsoft Windows 7 Forum
f01b4d95cf55d32a	Windows Explorer Windows 8.1.	11/7/2014	Russ Taylor
d7528034b5bd6f28	Windows Live Mail Pinned and Recent.	8/22/2011	Microsoft Windows 7 Forum
b91050d8b077a4e8	Windows Media Center x64	8/22/2011	Win4n6 List Serv
43578521d78096c6	Windows Media Player Classic Home Cinema 1.3 (32-bit)	8/22/2011	Microsoft Windows 7 Forum
74d7f43c1561fc1e	Windows Media Player 12 (32-bit)	8/22/2011	Microsoft Windows 7 Forum
954ea5f70258b502	Windows Script Host - wscript.exe (32-bit)	8/22/2011	Microsoft Windows 7 Forum
9f5c7755804b850a	Windows Script Host - wscript.exe (64-bit)	8/22/2011	Microsoft Windows 7 Forum
b0459de4674aab56	Windows Virtual PC - vmwindow.exe (32- and 64-bit)	8/22/2011	Microsoft Windows 7 Forum
469e4a7982cea4d4	Windows Wordpad	6/7/2013	[ChadTilbury]
290532160612e071	WinRar x64	8/22/2011	Win4n6 List Serv
b74736c2bd8cc8a5	WinZip	8/23/2011	Win4n6 List Serv
e36bfc8972e5ab1d	XPS Viewer	8/22/2011	Win4n6 List Serv
2b53c4ddf69195fc	Zune x64	8/22/2011	Win4n6 List Serv

Image/Document Viewers (32-bit)

AppID	Application Description	Date Added	Source
f0468ce1ae57883d	Adobe Reader 7.1.0	9/8/2011	4n6k Blog
c2d349a0e756411b	Adobe Reader 8.1.2	9/8/2011	4n6k Blog
23646679aaccfae0	Adobe Acrobat 9.4.0	9/8/2011	4n6k Blog
ee462c3b81abb6f6	Adobe Reader X 10.1.0	9/8/2011	4n6k Blog
386a2f6aa7967f36	EyeBrowse 2.7	9/8/2011	4n6k Blog
e31a6a8a7506f733	Image AXS Pro 4.1	9/8/2011	4n6k Blog
b39c5f226977725d	ACDSee Pro 8.1.99	9/8/2011	4n6k Blog
59f56184c796cfd4	ACDSee Photo Manager 10 (Build 219)	9/8/2011	4n6k Blog
8bd5c6433ca967e9	ACDSee Photo Manager 2009 (v11.0 Build 113)	9/8/2011	4n6k Blog
d838aac097abece7	ACDSee Photo Manager 12 (Build 344)	9/8/2011	4n6k Blog
b3f13480c2785ae	Paint 6.1 (build 7601: SP1)	9/8/2011	4n6k Blog
7cb0735d45243070	CDisplay 1.8.1.0	9/8/2011	4n6k Blog
3594aab44bca414b	Windows Photo Viewer	9/8/2011	4n6k Blog
3edf100b207e2199	digiKam 1.7.0 (KDE 4.4.4)	9/8/2011	4n6k Blog
169b3be0bc43d592	FastPictureViewer Professional 1.6 (Build 211)	9/8/2011	4n6k Blog
e9a39dfba105ea23	FastStone Image Viewer 4.6	9/8/2011	4n6k Blog
ef606b196796ebb	HP MediaSmart Photo	1/24/2012	[Jimmy_Weg]
edc786643819316c	HoneyView3 #5834	9/8/2011	4n6k Blog
76689ff502a1fd9e	Imagine Image and Animation Viewer 1.0.7	9/8/2011	4n6k Blog
2519133d6d830f7e	IMatch 3.6.0.113	9/8/2011	4n6k Blog
1110d9896dceddb3	imgSeek 0.8.5	9/8/2011	4n6k Blog
c634153e7f5fce9c	IrfanView 3.10 / 4.30	9/8/2011	4n6k Blog
ea83017cdd24374d	IrfanView Thumbnails	9/8/2011	4n6k Blog
3917dd550d7df9a8	Konvertor 4.06 (Build 10)	9/8/2011	4n6k Blog
2fa14c7753239e4c	Paint.NET 2.72 / 3.5.8.4081.24580	9/8/2011	4n6k Blog
d33ecf70f0b74a77	Picasa 2.2.0 (Build 28.08, 0)	9/8/2011	4n6k Blog
b17d3d0c9ca7e29	Picasa 3.8.0 (Build 117.43, 0)	9/8/2011	4n6k Blog
Embedded in IE	Prizm Viewer	9/8/2011	4n6k Blog
depends on Location	Scientific and Technical Document Viewer 1.6.2 Portable (STDU)	9/8/2011	4n6k Blog
c5c24a503b1727df	XnView 1.98.2 Small / 1.98.2 Standard	9/8/2011	4n6k Blog
497b42680f564128	Zoner PhotoStudio 13 (Build 7)	9/8/2011	4n6k Blog

Internet Browsers (32-bit)

AppID	Application Description	Date Added	Source
5d696d521de238c3	Chrome 9.0.597.84 / 12.0.742.100 / 13.0.785.215 / 26	9/8/2011	4n6k Blog
cfb56c56fa0f0a54	Mozilla 0.9.9	9/8/2011	4n6k Blog
5c450709f7ae4396	Firefox 1.0 / 2.0 / 3.0	9/8/2011	4n6k Blog
5df4765359170e26	Firefox 4.0.1	9/8/2011	4n6k Blog
1eb796d87c32eff9	Firefox 5.0	9/8/2011	4n6k Blog
1461132e553e2e6c	Firefox 6.0	9/8/2011	4n6k Blog
28c8b86deab549a1	Internet Explorer 8 / 9	9/8/2011	4n6k Blog
16ec093b8f51508f	Opera 8.54 build 7730 / 9.64 build 10487 / 11.50 build 1074	9/8/2011	4n6k Blog
8a1c1c7c389a5320	Safari 3.2.3 (525.29)	9/8/2011	4n6k Blog
1da3c90a72bf5527	Safari 4.0.5 (531.22.7) / 5.1 (7534.50)	9/8/2011	4n6k Blog

File Sharing/P2P (32-bit)

AppID	Application Description	Date Added	Source
e0f7a40340179171	imule 1.4.5 (rev. 749)	9/15/2011	4n6k Blog
installs to .exe loc	AirDC++ 2.10	9/15/2011	4n6k Blog
76f6f1bd18c19698	aMule 2.2.6	9/15/2011	4n6k Blog
cb5250eaef7e3213	ApexDC++ 1.4.3.957	9/15/2011	4n6k Blog
bfc1d76f16fa778f	Ares (Galaxy) 1.8.4 / 1.9.8 / 2.1.0 / 2.1.7.3041	9/15/2011	4n6k Blog
(portable)	Azureus 0.9.0 (portable)	9/15/2011	4n6k Blog
accca100973ef8dc	Azureus 2.0.8.4	9/15/2011	4n6k Blog
ccb36ff8a8c03b4b	Azureus 2.5.0.4 / Vuze 3.0.5.0	9/15/2011	4n6k Blog
558c5bd9f906860a	BearShare Lite 5.2.5.1	9/15/2011	4n6k Blog
e1d47cb031dafb9f	BearShare 6.0.0.22717 / 8.1.0.70928 / 10.0.0.112380	9/15/2011	4n6k Blog
(portable)	BitComet 0.39 (portable)	9/15/2011	4n6k Blog
a31ec95fdd5f350f	BitComet 0.49 / 0.59 / 0.69 / 0.79 / 0.89 / 0.99 / 1.07 / 1.28	9/15/2011	4n6k Blog
bcd7ba75303acbcf	BitLord 1.1	9/15/2011	4n6k Blog
1434d6d62d64857d	BitLord 1.2.0-66	9/15/2011	4n6k Blog
e73d9f534ed5618a	BitSpirit 1.2.0.228 / 2.0 / 2.6.3.168 / 2.7.2.239 / 2.8.0.072 / 3.1.0.077 / 3.6.0.550	9/15/2011	4n6k Blog
c9374251edb4c1a8	BitTornado T-0.3.17	9/15/2011	4n6k Blog
2d61cccb4338dfc8	BitTorrent 5.0.0 / 6.0.0 / 7.2.1 (Build 25548)	9/15/2011	4n6k Blog
ba3a45f7fd2583e1	Blubster 3.1.1	9/15/2011	4n6k Blog
4a7e4f6a181d3d08	broolzShare	9/15/2011	4n6k Blog
f001ea668c0aa916	Cabos 0.8.2	9/15/2011	4n6k Blog
(portable)	CzDC 0.699 (portable)	9/15/2011	4n6k Blog
(portable)	Datawire 1.3 (portable)	9/15/2011	4n6k Blog
(portable)	DC++ 0.181 (portable)	9/15/2011	4n6k Blog
560d789a6a42ad5a	DC++ 0.261 / 0.698 / 0.782 (r2402.1)	9/15/2011	4n6k Blog
4aa2a5710da3efe0	DCSharpHub 2.0.0	9/15/2011	4n6k Blog
2db8e25112ab4453	Deluge 1.3.3	9/15/2011	4n6k Blog
5b186fc4a0b40504	Dtella 1.2.5 (Purdue network only)	9/15/2011	4n6k Blog
2437d4d14b056114	EiskaltDC++ 2.2.3	9/15/2011	4n6k Blog
b3016b8da2077262	eMule 0.50a	9/15/2011	4n6k Blog
cbbe886eca4bfc2d	ExoSee 1.0.0	9/15/2011	4n6k Blog
9ad1ec169bf2da7f	FlylinkDC++ r405 (Build 7358)	9/15/2011	4n6k Blog
4dd48f858b1a6ba7	Free Download Manager 3.0 (Build 852)	9/15/2011	4n6k Blog
(portable)	Freenet (default install dir is C:\Users\$user\...)	9/15/2011	4n6k Blog
(portable)	Frost 2011-03-05 (portable)	9/15/2011	4n6k Blog
f214ca2dd40c59c1	FrostWire 4.20.9	9/15/2011	4n6k Blog
73ce3745a843c0a4	FrostWire 5.1.4	9/15/2011	4n6k Blog
98b0ef1c84088	fulDC 6.78	9/15/2011	4n6k Blog
e6ea77a1d4553872	Gnucleus 1.8.6.0	9/15/2011	4n6k Blog
ed49e1e6ccdba2f5	GNUnet 0.8.1a	9/15/2011	4n6k Blog
cc4b36fbfb69a757	gtk-gnutella 0.97	9/15/2011	4n6k Blog
a746f9625f7695e8	HeXHub 5.07	9/15/2011	4n6k Blog
223bf0f360c6fea5	I2P 0.8.8 (restartable)	9/15/2011	4n6k Blog
2ff9dc8fb7e11f39	I2P 0.8.8 (no window)	9/15/2011	4n6k Blog
????????????????	[i2p] i2phex 3.2.0.103.0	9/15/2011	4n6k Blog
f1a4c04eebef2906	[i2p] Robert 0.0.29 Preferences	9/15/2011	4n6k Blog
????????????????	[i2p] Rufus 0.0.4	9/15/2011	4n6k Blog
c8e4c10e5460b00c	iMesh 6.5.0.16898	9/15/2011	4n6k Blog
f61b65550a84027e	iMesh 11.0.0.112351	9/15/2011	4n6k Blog
d460280b17628695	Java Binary	9/15/2011	4n6k Blog
(portable)	Jucy DC 0.85.0.201008281346 (portable)	9/15/2011	4n6k Blog
784182360de0c5b6	Kazaa Lite 1.7.1	9/15/2011	4n6k Blog
a75b276f6e72cf2a	Kazaa Lite Tools K++ 2.7.0	9/15/2011	4n6k Blog
ba132e702c0147ef	KCeasy 0.19-rc1	9/15/2011	4n6k Blog
a8df13a46d66f6b5	Kommute (Calypso) 0.24	9/15/2011	4n6k Blog
(portable)	LamaHub 0.0.5.5 (portable)	9/15/2011	4n6k Blog
c5ef839d8d1c76f4	LimeWire 5.2.13	9/15/2011	4n6k Blog
977a5d147aa093f4	Lphant 3.51	9/15/2011	4n6k Blog
96252daff039437a	Lphant 7.0.0.112351	9/15/2011	4n6k Blog
e76a4ef13fbf2bb1	Manolito 3.1.1	9/15/2011	4n6k Blog
99c15cf3e6d52b61	mldonkey 3.1.0	9/15/2011	4n6k Blog
ff224628f0e8103c	Morpheus 3.0.3.6	9/15/2011	4n6k Blog
(portable)	MUTE File Sharing 0.5.1 (portable)	9/15/2011	4n6k Blog
See Java Binary	Nodezilla Agent 0.5.15 - built in Java	9/15/2011	4n6k Blog
(portable)	Perfect Dark 0.883 / 0.940 / 1.06 / 1.07 (all portable)	9/15/2011	4n6k Blog
See Java Binary	Phex 3.4.2 (Build 116) - built in Java	9/15/2011	4n6k Blog
792699a1373f1386	Piolet 3.1.1	9/15/2011	4n6k Blog
ca1eb46544793057	RetroShare 0.5.2a (Build 4550)	9/15/2011	4n6k Blog
3cf13d83b0bd3867	RevConnect 0.674p (based on DC++)	9/15/2011	4n6k Blog
(portable)	PtokaX DC Hub 0.4.1.2 (portable)	9/15/2011	4n6k Blog
(portable)	RSX++ 1.21 (portable)	9/15/2011	4n6k Blog
5e01ecaf82f7d8e	Scour Exchange 0.0.0.228	9/15/2011	4n6k Blog
(portable)	StrongDC++ 2.42 (portable)	9/15/2011	4n6k Blog
(portable)	TkDC++ 1.3 (portable)	9/15/2011	4n6k Blog
5d7b4175afdcc260	Shareaza 2.0.0.0	9/15/2011	4n6k Blog
b48ce76eda60b97	Shareaza 8.0.0.112300	9/15/2011	4n6k Blog
23f08dab0f6aaf30	SoMud 1.3.3	9/15/2011	4n6k Blog
135df2a440abe9bb	SoulSeek 156c	9/15/2011	4n6k Blog
ecd21b58c2f65a2f	StealthNet 0.8.7.9	9/15/2011	4n6k Blog
5ea2a50c7979fbdc	TrustyFiles 3.1.0.22	9/15/2011	4n6k Blog
(portable)	uTorrent 1.1.1-dev (Build 110) / 1.3.0 / 1.5.0 (all portable)	9/15/2011	4n6k Blog
cd8cafb0fb6afdab	uTorrent 1.7.7 (Build 8179) / 1.8.5 / 2.0 / 2.21 (Build 25113) / 3.0 (Build 25583)	9/15/2011	4n6k Blog
a75b276f6e72cf2a	WinMX 3.53	9/15/2011	4n6k Blog
490c000889535727	WinMX 4.9.3.0	9/15/2011	4n6k Blog
(portable)	Winny 2.0b7.1 - all languages (portable)	9/15/2011	4n6k Blog
(portable)	xHub 0.2.6.7 (portable)	9/15/2011	4n6k Blog
(portable)	YnHub 1.036.152 (portable)	9/15/2011	4n6k Blog
ac3a63b839ac9d3a	Vuze 4.6.0.4	9/15/2011	4n6k Blog

FTP (32-bit)

AppID	Application Description	Date Added	Source
d28ee773b2cea9b2	3D-FTP 9.0 build 7	9/15/2011	4n6k Blog
cd2acd4089508507	AbsoluteTelnet 9.18 Lite	9/15/2011	4n6k Blog
e6ef42224b845020	ALFTP 5.20.0.4	9/15/2011	4n6k Blog
9e0b3f677a26bbc4	BitKinex 3.2.3	9/15/2011	4n6k Blog
4cdf7858c6673f4b	Bullet Proof FTP 1.26	9/15/2011	4n6k Blog
714b179e552596df	Bullet Proof FTP 2.4.0 (Build 31)	9/15/2011	4n6k Blog
20ef367747c22564	Bullet Proof FTP 2010.75.0.75	9/15/2011	4n6k Blog
44a50e6c87bc012	Classic FTP Plus 2.15	9/15/2011	4n6k Blog
4fceec8e021ac978	CoffeeCup Free FTP 3.5.0.0	9/15/2011	4n6k Blog
8deb27dfa31c5c2a	CoffeeCup Free FTP 4.4 (Build 1904)	9/15/2011	4n6k Blog
49b5edbd92d8cd58	FTP Commander 8.02	9/15/2011	4n6k Blog
6a316aa67a46820b	Core FTP LE 1.3c (Build 1437) / 2.2 (Build 1689)	9/15/2011	4n6k Blog
be4875bb3e0c158f	CrossFTP 1.75a	9/15/2011	4n6k Blog
c04f69101c131440	CuteFTP 5.0 (Build 50.6.10.2)	9/15/2011	4n6k Blog
a79a7ce3c45d781	CuteFTP 7.1 (Build 06.06.2005.1)	9/15/2011	4n6k Blog
59e86071b87ac1c3	CuteFTP 8.3 (Build 8.3.4.0007)	9/15/2011	4n6k Blog
d8081f151f4bd8a5	CuteFTP 8.3 Lite (Build 8.3.4.0007)	9/15/2011	4n6k Blog
3198e37206f28dc7	CuteFTP 8.3 Professional (Build 8.3.4.0007)	9/15/2011	4n6k Blog
f82607a219af2999	Cyberduck 4.1.2 (Build 8999)	9/15/2011	4n6k Blog
fa7144034d7d083d	Directory Opus 10.0.2.0.4269 (JL tasks supported)	9/15/2011	4n6k Blog
f91fd0c57c4fe449	ExpanDrive 2.1.0	9/15/2011	4n6k Blog
8f852307189803b8	Far Manager 2.0.1807	9/15/2011	4n6k Blog
226400522157fe8b	FileZilla Server 0.9.39 beta	9/15/2011	4n6k Blog
a1d19afe5a80f80	FileZilla 2.2.32	9/15/2011	4n6k Blog
e107946bb682ce47	FileZilla 3.5.1	9/15/2011	4n6k Blog
b7cb1d1c1991accf	FlashFXP 4.0.0 (Build 1548)	9/15/2011	4n6k Blog
8628e76fd9020e81	Fling File Transfer Plus 2.24	9/15/2011	4n6k Blog
27da120d7e75cf1f	pbFTPClient 6.1	9/15/2011	4n6k Blog
f64de962764b9b0f	FTPRush 1.1.3 / 2.15	9/15/2011	4n6k Blog
10f5a20c21466e85	FTP Voyager 15.2.0.17	9/15/2011	4n6k Blog
7937df3c65790919	FTP Explorer 10.5.19 (Build 001)	9/15/2011	4n6k Blog
9560577fd87cf573	LeechFTP 1.3 (Build 207)	9/15/2011	4n6k Blog
fc999f29bc5c3560	Robo-FTP 3.7.9	9/15/2011	4n6k Blog
c99ddde925d26df3	Robo-FTP 3.7.9 CronMaker	9/15/2011	4n6k Blog
4b632cf2ceceac35	Robo-FTP Server 3.2.5	9/15/2011	4n6k Blog
3a5148bf2288a434	Secure FTP 2.6.1 (Build 20101209.1254)	9/15/2011	4n6k Blog
435a2f986b404eb7	SmartFTP 4.0.1214.0	9/15/2011	4n6k Blog
explorer integrated	Swish	9/15/2011	4n6k Blog
e42a8e0f4d9b8dcf	Sysax FTP Automation 5.15	9/15/2011	4n6k Blog
b8c13a5dd8c455a2	Titan FTP Server 8.40 (Build 1338)	9/15/2011	4n6k Blog
7904145af324576e	Total Commander 7.56a (Build 16.12.2010)	9/15/2011	4n6k Blog
79370f660ab51725	UploadFTP 2.0.1.0	9/15/2011	4n6k Blog
6a8b377d0f5cb666	WinSCP 2.3.0 (Build 146)	9/15/2011	4n6k Blog
9a3bdae86d5576ee	WinSCP 3.2.1 (Build 174) / 3.8.0 (Build 312)	9/15/2011	4n6k Blog
6bb54d82fa42128d	WinSCP 4.3.4 (Build 1428)	9/15/2011	4n6k Blog
b6267f3fcb700b60	WiseFTP 4.1.0	9/15/2011	4n6k Blog
a581b8002a6eb671	WiseFTP 5.5.9	9/15/2011	4n6k Blog
2544ff74641b639d	WiseFTP 6.1.5	9/15/2011	4n6k Blog
c54b96f328bdc28d	WiseFTP 7.3.0	9/15/2011	4n6k Blog
Web-based	WS_FTP	9/15/2011	4n6k Blog

IRC (32-bit)

AppID	Application Description	Date Added	Source
b223c3ffbc0a7a42	Bersirc 2.2.14	9/15/2011	4n6k Blog
c01d68e40226892b	ClicksAndWhistles 2.7.146	9/15/2011	4n6k Blog
ac8920ed05001800	DMDirc 0.6.5 (Profile store: C:\Users\$user\AppData\Roaming\DMDirc\)	9/15/2011	4n6k Blog
d3530c5294441522	HydraIRC 0.3.165	9/15/2011	4n6k Blog
8904a5fd2d98b546	IceChat 7.70 20101031	9/15/2011	4n6k Blog
6b3a5ce7ad4af9e4	IceChat 9 RC2	9/15/2011	4n6k Blog
fa496fe13dd62edf	KVIrc 3.4.2.1 / 4.0.4	9/15/2011	4n6k Blog
65f7dd884b016ab2	LimeChat 2.39	9/15/2011	4n6k Blog
19ccee0274976da8	mIRC 4.72 / 5.61	9/15/2011	4n6k Blog
ae069d21df1c57df	mIRC 6.35 / 7.19	9/15/2011	4n6k Blog
e30bbea3e1642660	Neebly 1.0.4	9/15/2011	4n6k Blog
54c803dfc87b52ba	Nettalk 6.7.12	9/15/2011	4n6k Blog
dd658a07478b46c2	PIRCH98 1.0.1.1190	9/15/2011	4n6k Blog
(portable)	Quassel IRC 0.7.1 (portable)	9/15/2011	4n6k Blog
6fee01bd55a634fe	Smuxi 0.8.0.0	9/15/2011	4n6k Blog
2a5a615382a84729	X-Chat 2 2.8.6-2	9/15/2011	4n6k Blog

IM/Communications (32-bit)

AppID	Application Description	Date Added	Source
b3965c840bf28ef4	AIM 4.8.2616	9/15/2011	4n6k Blog
1b29f0dc90366bb	AIM 5.9.3857	9/15/2011	4n6k Blog
27ececd8d89b6767	AIM 6.2.14.2 / 6.5.3.12 / 6.9.17.2	9/15/2011	4n6k Blog
6f647f9488d7a	AIM 7.5.11.9 (custom AppID + JL support)	9/15/2011	4n6k Blog
ca942805559495e9	aMSN 0.98.4	9/15/2011	4n6k Blog
c6f7b5bf1b9675e4	BitWise IM 1.7.3a	9/15/2011	4n6k Blog
fb1f39d1f230480a	Bopup Messenger 5.6.2.9178 (all languages: en;du;fr;ger;rus;es)	9/15/2011	4n6k Blog
dc64de6c91c18300	Brosix Communicator 3.1.3 (Build 110719 nid 1)	9/15/2011	4n6k Blog
f09b920bfb781142	Camfrog 4.0.47 / 5.5.0 / 6.1 (build 146) (JL support)	9/15/2011	4n6k Blog
ebd8c95d87f25154	Carrier 2.5.5	9/15/2011	4n6k Blog
(portable)	Coccinella Messenger 0.96.20 (portable)	9/15/2011	4n6k Blog
30d23723bdd5d908	Digsby (Build 30140) (JL support)	9/15/2011	4n6k Blog
728008617bc3e34b	eM Client 3.0.10206.0	9/15/2011	4n6k Blog
689319b6547cda85	emesene 2.11.7	9/15/2011	4n6k Blog
454ef7dca3bb16b2	Exodus 0.10.0.0	9/15/2011	4n6k Blog
cca6383a507bac64	Gadu-Gadu 10.5.2.13164	9/15/2011	4n6k Blog
4278d3dc044fc88a	Gaim 1.5.0	9/15/2011	4n6k Blog
777483d3cdac1727	Gajim 0.14.4	9/15/2011	4n6k Blog
6aa18a60024620ae	GCN 2.9.1	9/15/2011	4n6k Blog
3f2cd46691bbee90	GOIM 1.1.0	9/15/2011	4n6k Blog
73c6a317412687c2	Google Talk 1.0.0.104	9/15/2011	4n6k Blog
b0236d03c0627ac4	ICQ 5.1 / ICQLite Build 1068	9/15/2011	4n6k Blog
a5db18f617e28a51	ICQ 6.5 (Build 2024)	9/15/2011	4n6k Blog
2417caa1f2a881d4	ICQ 7.6 (Build 5617)	9/15/2011	4n6k Blog
recognized VM	inSpeak 7.2.0.540	9/15/2011	4n6k Blog
989d7545c2b2e7b2	IMVU 465.8.0.0	9/15/2011	4n6k Blog
a3e0d98f5653b539	Instantbird 1.0 (20110623121653) (JL support)	9/15/2011	4n6k Blog
bcc705f705d8132b	Instan-t 5.2 (Build 2824)	9/15/2011	4n6k Blog
6059df4b02360af	Kadu 0.10.0 / 0.6.5.5	9/15/2011	4n6k Blog
c312e260e424ae76	Mail.Ru Agent 5.8 (JL support)	9/15/2011	4n6k Blog
22cefa022402327d	Meca Messenger 5.3.0.52	9/15/2011	4n6k Blog
(portable)	Mercury Messenger (portable)	9/15/2011	4n6k Blog
86b804f7a28a3c17	Miranda IM 0.6.8 / 0.7.6 / 0.8.27 / 0.9.9 / 0.9.29 (ANSI + Unicode)	9/15/2011	4n6k Blog
b868d9201b866d96	Microsoft Lync 4.0.7577.0	9/15/2011	4n6k Blog
8c816c711d66a6b5	MSN Messenger 6.2.0137 / 7.0.0820	9/15/2011	4n6k Blog
(portable)	MSNPSharp (portable)	9/15/2011	4n6k Blog
2d1658d5dc3cbe2d	MySpaceIM 1.0.823.0 Beta	9/15/2011	4n6k Blog
bf9ae1f46bd9c491	Nimbuzz 2.0.0 (rev 6266)	9/15/2011	4n6k Blog
fb7ca8059b8f2123	ooVoo 3.0.7.21	9/15/2011	4n6k Blog
efb08d4e11e21ece	Paltalk Messenger 10.0 (Build 409)	9/15/2011	4n6k Blog
4f24a7b84a7de5a6	Palringo 2.6.3 (r45983)	9/15/2011	4n6k Blog
e93dbdcede8623f2	Pandion 2.6.106	9/15/2011	4n6k Blog
aedd2de3901a77f4	Pidgin 2.0.0 / 2.10.0 / 2.7.3	9/15/2011	4n6k Blog
c5236fd5824c9545	PLAYXPERT 1.0.140.2822	9/15/2011	4n6k Blog
dee18f19c7e3a2ec	PopNote 5.21	9/15/2011	4n6k Blog
1a60b1067913516a	Psi 0.14	9/15/2011	4n6k Blog
e0532b20aa26a0c9	QQ International 1.1 (2042)	9/15/2011	4n6k Blog
3c0022d9de573095	QuteCom 2.2	9/15/2011	4n6k Blog
93b18adf1d948fa3	qutIM 0.2	9/15/2011	4n6k Blog
e0246018261a9ccc	qutIM 0.2.80.0	9/15/2011	4n6k Blog
2aa756186e21b320	RealTimeQuery 3.2	9/15/2011	4n6k Blog
521a29e5d22c13b4	Skype 1.4.0.84 / 2.5.0.154 / 3.8.0.139 / 4.2.0.187 / Skype 5.3.0.120 / 5.5.0.115 / 5.5.32.117	9/15/2011	4n6k Blog
70b52cf73249257	Sococo 1.5.0.2274	9/15/2011	4n6k Blog
d41746b133d17456	Tkabber 0.11.1	9/15/2011	4n6k Blog
c8aa3eaee3d4343d	Trillian 0.74 / 3.1 / 4.2.0.25 / 5.0.0.35 (JL support)	9/15/2011	4n6k Blog
d7d647c92cd5d1e6	uTalk 2.6.4 r47692	9/15/2011	4n6k Blog
36c36598b08891bf	Vovox 2.5.3.4250	9/15/2011	4n6k Blog
884fd37e05659f3a	VZOchat 6.3.5	9/15/2011	4n6k Blog
3461e4d1eb393c9c	WTW 0.8.18.2852 / 0.8.19.2940	9/15/2011	4n6k Blog
f2cb1c38ab948f58	X-Chat 1.8.10 / 2.6.9 / 2.8.9	9/15/2011	4n6k Blog
4e0ac37db19cba15	Xfire 1.138 (Build 44507)	9/15/2011	4n6k Blog
da7e8de5b8273a0f	Yahoo Messenger 5.0.0.1226 / 6.0.0.1922	9/15/2011	4n6k Blog
62dba7fb39bb0adc	Yahoo Messenger 7.5.0.647 / 8.1.0.421 / 9.0.0.2162 / 10.0.0.1270	9/15/2011	4n6k Blog
fb230a9fe81e71a8	Yahoo Messenger 11.0.0.2014-us	9/15/2011	4n6k Blog
b06a975b62567622	Windows Live Messenger 8.5.1235.0517 BETA	9/15/2011	4n6k Blog
bd249197a6faeff2	Windows Live Messenger 2011	9/15/2011	4n6k Blog

Media Players (32-bit)

AppID	Application Description	Date Added	Source
d22ad6d9d20e6857	ALLPlayer 4.7	9/8/2011	4n6k Blog
7494a606a9eef18e	Crystal Player 1.98	9/8/2011	4n6k Blog
1cffbe973a437c74	DSPlayer 0.889 Lite	9/8/2011	4n6k Blog
817bb211c92fd254	GOM Player 2.0.12.3375 / 2.1.28.5039	9/8/2011	4n6k Blog
6bc3383cb68a3e37	iTunes 7.6.0.29 / 8.0.0.35	9/8/2011	4n6k Blog
83b03b46dcd30a0e	iTunes 9.0.0.70 / 9.2.1.5 / 10.4.1.10 (begin custom 'Tasks' JL capability)	9/8/2011	4n6k Blog
fe5e840511621941	JetAudio 5.1.9.3018 Basic / 6.2.5.8220 Basic / 7.0.0 Basic / 8.0.16.2000 Basic	9/8/2011	4n6k Blog
a777ad264b54abab	JetVideo 8.0.2.200 Basic	9/8/2011	4n6k Blog
3c93a049a30e25e6	J. River Media Center 16.0.149	9/8/2011	4n6k Blog
4a49906d074a3ad3	Media Go 1.8 (Build 121)	9/8/2011	4n6k Blog
1cf97c38a5881255	MediaPortal 1.1.3	9/8/2011	4n6k Blog
Depends on location	Media Player Classic 6.4.8.9 (is portable)	9/8/2011	4n6k Blog
Depends on location	Media Player Classic - Home Cinema 1.5.2.3456 (default install is \Users\user\ dir, so dynamic)	9/8/2011	4n6k Blog
62bff50b969c2575	Quintessential Media Player 5.0 (Build 121) - also usage stats (times used, tracks played, total time used)	9/8/2011	4n6k Blog
b50ee40805bd280f	QuickTime Alternative 1.9.5 (Media Player Classic 6.4.9.1)	9/8/2011	4n6k Blog
ae3f2acd395b622e	QuickTime Player 6.5.1 / 7.0.3 / 7.5.5 (Build 249.13)	9/8/2011	4n6k Blog
7593af37134fd767	RealPlayer 6.0.6.99 / 7 / 8 / 10.5	9/8/2011	4n6k Blog
37392221756de927	RealPlayer SP 12	9/8/2011	4n6k Blog
f92e607f9de02413	RealPlayer 14.0.6.666	9/8/2011	4n6k Blog
6e9d40a4c63bb562	Real Player Alternative 1.25 (Media Player Classic 6.4.8.2 / 6.4.9.0)	9/8/2011	4n6k Blog
c91d08dcfc39a506	SM Player 0.6.9 r3447	9/8/2011	4n6k Blog
e40cb5a291ad1a5b	Songbird 1.9.3 (Build 1959)	9/8/2011	4n6k Blog
4d8bdacf5265a04f	The KMPlayer 2.9.4.1434	9/8/2011	4n6k Blog
4acae695c73a28c7	VLC 0.3.0 / 0.4.6	9/8/2011	4n6k Blog
9fda41b86ddcf1db	VLC 0.5.3 / 0.8.6i / 0.9.7 / 1.1.11	9/8/2011	4n6k Blog
e6ee34ac9913c0a9	VLC 0.6.2	9/8/2011	4n6k Blog
cbeb786f0132005d	VLC 0.7.2	9/8/2011	4n6k Blog
f674c3a77cfe39d0	Winamp 2.95 / 5.1 / 5.621	9/8/2011	4n6k Blog
90e5e8b21d7e7924	Winamp 3.0d (Build 488)	9/8/2011	4n6k Blog
74d7f43c1561fc1e	Windows Media Player 12.0.7601.17514	9/8/2011	4n6k Blog

System Cleaners (32-bit)

AppID	Application Description	Date Added	Source
ed7a5cc3cca8d52a	CCleaner 1.32.345 / 1.41.544 / 2.36.1233 / 3.10.1525	9/8/2011	4n6k Blog
eb7e629258d326a1	WindowWasher 6.6.1.18	9/8/2011	4n6k Blog

Usenet Newsreaders (32-bit)

AppID	Application Description	Date Added	Source
ace8715529916d31	40tude Dialog 2.0.15.1 (Beta 38)	9/15/2011	4n6k Blog
cc76755e0f925ce6	AllPicturez 1.2	9/15/2011	4n6k Blog
36f6bc3efe1d99e0	Alt.Binz 0.25.0 (Build 27.09.2007)	9/15/2011	4n6k Blog
d53b52fb65bde78c	Android Newsgroup Downloader 6.2	9/15/2011	4n6k Blog
c845f3a6022d647c	Another File 2.03 (Build 2/7/2004)	9/15/2011	4n6k Blog
780732558f827a42	AutoPix 5.3.3	9/15/2011	4n6k Blog
baea31eacd87186b	BinaryBoy 1.97 (Build 55)	9/15/2011	4n6k Blog
eab25958dbddbaa4	Binary News Reaper 2 (Beta 0.14.7.448)	9/15/2011	4n6k Blog
bf483b423ebbd327	Binary Vortex 5.0	9/15/2011	4n6k Blog
36801066f71b73c5	Binbot 2.0	9/15/2011	4n6k Blog
13eb0e5d9a49eaef	Binjet 3.0.2	9/15/2011	4n6k Blog
8172865a9d5185cb	Binreader 1.0 (Beta 1)	9/15/2011	4n6k Blog
6224453d9701a612	BinTube 3.7.1.0 (requires VLC 10.5!)	9/15/2011	4n6k Blog
cf6379a9a987366e	Digibin 1.31	9/15/2011	4n6k Blog
43886ba3395acdcc	Easy Post 3.0	9/15/2011	4n6k Blog
cfab0ec14b6f953	Express NewsPictures 2.41 (Build 08.05.07.0)	9/15/2011	4n6k Blog
7526de4a8b5914d9	Forte Agent 6.00 (Build 32.1186)	9/15/2011	4n6k Blog
c02baf50d02056fc	FotoVac 1.0	9/15/2011	4n6k Blog
3ed70ef3495535f7	Gravity 3.0.4	9/15/2011	4n6k Blog
86781fe8437db23e	Messenger Pro 2.66.6.3353	9/15/2011	4n6k Blog
f920768fe275f7f4	Grabit 1.5.3 Beta (Build 909) / 1.6.2 (Build 940) / 1.7.2 Beta 4 (Build 997)	9/15/2011	4n6k Blog
9f03ae476ad461fa	GroupsAloud 1.0	9/15/2011	4n6k Blog
d0261ed6e16b200b	News File Grabber 4.6.0.4	9/15/2011	4n6k Blog
8211531a7918b389	Newsbin Pro 6.00 (Build 1019) (JL support)	9/15/2011	4n6k Blog
d1fc019238236806	Newsgroup Commander Pro 9.05	9/15/2011	4n6k Blog
186b5ccada1d986b	NewsGrabber 3.0.36	9/15/2011	4n6k Blog
4d72cfa1d0a67418	Newsgroup Image Collector	9/15/2011	4n6k Blog
92f1d5db021cd876	NewsLeecher 4.0 / 5.0 Beta 6	9/15/2011	4n6k Blog
d7666c416cba240c	NewsMan Pro 3.0.5.2	9/15/2011	4n6k Blog
7b2b4f995b54387d	News Reactor 20100224.16	9/15/2011	4n6k Blog
cb984e3bc7faf234	NewsRover 17.0 (Rev.0)	9/15/2011	4n6k Blog
c98ab5ccf25dda79	NewsShark 2.0	9/15/2011	4n6k Blog
dba909a61476ccec	NewsWolf 1.41	9/15/2011	4n6k Blog
2b164f512891ae37	NewsWolf NSListGen	9/15/2011	4n6k Blog
cb1d97aca3fb7e6b	Newz Crawler 1.9.0 (Build 4100)	9/15/2011	4n6k Blog
3be7b307dfccb58f	NiouzeFire 0.8.7.0	9/15/2011	4n6k Blog
de76415e0060ce13	Noworyta News Reader 2.9	9/15/2011	4n6k Blog
cd40ead0b1eb15ab	NNTPGrab 0.6.2	9/15/2011	4n6k Blog
d5c02fc7afbb3fd4	NNTPGrab 0.6.2 Server	9/15/2011	4n6k Blog
a4def57ee99d77e9	Nomad News 1.43	9/15/2011	4n6k Blog
3f97341a65bac63a	Ozum 6.07 (Build 6070)	9/15/2011	4n6k Blog
bfe841f4d35c92b1	QuadSucker/News 5.0	9/15/2011	4n6k Blog
web-based	sabnzbd 0.6.8	9/15/2011	4n6k Blog
d3c5cf21e86b28af	SeaMonkey 2.3.3	9/15/2011	4n6k Blog
7a7c60efd66817a2	Spotnet 1.7.4	9/15/2011	4n6k Blog
eb3300e672136bc7	Stream Reactor 1.0 Beta 9 (uses VLC!)	9/15/2011	4n6k Blog
3168cc975b354a01	Slypheed 3.1.2 (Build 1120)	9/15/2011	4n6k Blog
776beb1fcfc6dfa5	Thunderbird 1.0.6 (20050716) / 3.0.2	9/15/2011	4n6k Blog
3d877ec11607fe4	Thunderbird 6.0.2	9/15/2011	4n6k Blog
7192f2de78fd9e96	TIFNY 5.0.3	9/15/2011	4n6k Blog
9dacebaa9ac8ca4e	TLNews Newsreader 2.2.0 (Build 2430)	9/15/2011	4n6k Blog
7fd04185af357bd5	UltraLeeacher 1.7.0.2969 / 1.8 Beta (Build 3490)	9/15/2011	4n6k Blog
aa11f575087b3bdc	Unzbin 2.6.8	9/15/2011	4n6k Blog
pay only	Usenet Explorer 3.3 (pay)	9/15/2011	4n6k Blog
d7db75db9cdd7c5d	Xnews 5.04.25	9/15/2011	4n6k Blog

Utilities (32-bit)

AppID	Application Description	Date Added	Source
3dc02b55e44d6697	7-Zip 3.13 / 4.20	9/8/2011	4n6k Blog
4975d6798a8bdf66	7-Zip 4.65 / 9.20	9/8/2011	4n6k Blog
4b6925efc53a3c08	BCWipe 5.02.2 Task Manager 3.02.3	9/8/2011	4n6k Blog
23709f6439b9f03d	Hex Editor Neo 5.14	6/7/2013	[ChadTilbury]
e57cfc995bdc1d98	Snagit 11	6/7/2013	[ChadTilbury]
337ed59af273c758	Sticky Notes	9/8/2011	4n6k Blog
290532160612e071	WinRAR 2.90 / 3.60 / 4.01	9/8/2011	4n6k Blog
c9950c443027c765	WinZip 9.0 SR-1 (6224) / 10.0 (6667)	9/8/2011	4n6k Blog
b74736c2bd8cc8a5	WinZip 15.5 (9468)	9/8/2011	4n6k Blog
bc0c37e84e063727	Windows Command Processor - cmd.exe (32-bit)	9/8/2011	4n6k Blog

'O / S > Window' 카테고리의 다른 글

System Overview (0)	2015.10.28
Memory.dmp (0)	2015.10.09
OpenSCManager FAILED 5 Error (0)	2015.09.18
KPROCESS struct (0)	2015.09.14
EPROCESS struct (0)	2015.09.14

O / S /Window