The Elixir of DY life

Malware 등 프로그램을 분석할 때,

Regshot, Procmon 등의 분석툴들을 강제로 종료시켜 버리는 코드가 삽입되어 있는 경우가 있다.

내가 분석한 과제의 경우에는

tskill 명령을 이용하여 Reg, procmon, taskgmr 로 시작하는 프로세스 이름을 찾아서 해당 프로세스를 종료시켜 버리는 경우였다.

해당 프로세스 종료 권한을 상승시키거나, 강제 종료 할 수 없도록 코드를 짜는 방법 등 다양한 방법들이 있지만

가장 쉬운 방법으로, 프로세스 이름을 변경하여 해결하였다.

예를 들어 tcpview.exe 프로세스 이름을 변경해 보자

작업관리자를 보면, Tcpview.exe 프로세스가 정상 실행중이다.

마우스 오른쪽 버튼을 눌러 '속성' 창을 열어 놓는다.

그리고 다시 tcpview.exe를 마우스오른쪽버튼 클릭하여 '프로세스 끝내기' 를 클릭한다.

속성창은 열려 있는 상태

프로세스 끝내기를 클릭한다.

프로세스는 종료되고 작업관리자에도 없어졌으나, 속성창은 남아있다.

이름을 변경한다. 이때 주의해야 할 사항은 뒤에 확장자(.exe)는 그대로 두고 이름만 바꾼다.

예제에서는 TCPVIEW -> T1CPVIEW로 변경하였다.

그리고 확인 클릭

그러면 원래 파일이 T1cpview.exe 로 이름이 변경되면서, 실행해도 프로세스 이름 또한 같이 변경이 된다.

파워포인트를 포함한 MS오피스 제품에서는, 다른이름으로 저장을 할 때 파일형식으로 그림파일(bmp, jpg, png)등을 기본으로 지원한다.

파워포인트에서 만든 도형 및 개체를 한글에 붙여넣기 할 때나,

다른컴퓨터에서 글꼴이 설치되어 있지 않아 다르게 나오는 문제 등을 해결하기 위해

슬라이드를 그림파일로 저장하여 사용하곤 한다.

그러나, 

기본적으로 그림으로 저장될 때 해상도(그림크기)가 200dpi급으로 제한되어 있어,

파워포인트 슬라이드를 그림으로 저장 후 한글에 붙여넣기 하여 인쇄해 보면, 선명하지 않은게 느껴진다

이러한 문제를 해결하는 방법 ( 그림파일로 저장시 고화질 해상도 그림으로 높이는 방법 )

출처는 MS  http://support.microsoft.com/kb/827745/ko

레지스트리 수정이 필요하므로 주의!!! (다른것 절대 수정하지 말것)

1. 모든 Windows 기반 프로그램을 종료 합니다.
2. 시작을 클릭한 다음 실행을 클릭합니다.
3. 열기 상자에 regedit을 입력한 다음 확인을 클릭합니다.

4. 사용 중인 PowerPoint 버전에 따라 다음 레지스트리 하위 키 중 하나를 찾습니다.
   

   

   
   

   
   

   
   

   
   

   
   

   PowerPoint 2013

   HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\PowerPoint\Options

   PowerPoint 2010

   HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\PowerPoint\Options

   PowerPoint 2007

   HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\PowerPoint\Options

   PowerPoint 2003

   HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\PowerPoint\Options
5. 옵션 하위 키를 클릭 하 고 편집 메뉴에서 새로 만들기 를 가리킨 다음 DWORD 값을 클릭 합니다.
6. ExportBitmapResolution입력 한 다음 Enter 키를 누릅니다.
7. ExportBitmapResolution 을 선택 하 고 편집 메뉴에서 수정 을 클릭 합니다.
8. DWORD 값 편집 대화 상자에서 10 진수를 클릭 합니다.
9. 값 데이터 상자에 300등 원하는 해상도 값을 입력 합니다. 또는 다음 표에 있는 매개 변수를 사용 합니다.
   
   
   10 진수 값	전체 화면 픽셀 (가로 × 세로)	와이드스크린 픽셀 (가로 × 세로)	(가로 및 세로) 인치 당 도트 수
   50	500 × 375	667 × 375	50 dpi
   96 (기본값)	960 × 720	1280 × 720	96 dpi
   100	1000 × 750	1333 × 750	100 dpi
   150	1500 × 1125	2000 × 1125	150 dpi
   200	2000 × 1500	2667 × 1500	200dpi
   250	2500 × 1875	3333 × 1875	250 dpi
   300	3000 × 2250	4000 × 2250	300 dpi

당연히 최고 해상도로 설정을 하자!! (필요하면 그 후에 줄이면 되니까)

그다음 파워포인트에서 다른이름으로저장 - Png 파일로 하니까 최고 해상도(약 3000x2000) 그림파일로 저장되었다 ^.^

----------------------------------------------------

9.26 내용 추가

위 방법대로 레지스트리 수정하여, 슬라이드를, 다른이름으로 저장(png, jpg 등)으로 그림파일 저장 하였을 때,

일부 왼쪽 윗 부분만 제대로 저장되고, 나머지는 빈 칸으로 저장되는 오류 발견 (전체 그림 크기는 3000x2000 이 맞다)

=> 열심히 해결방안을 찾아 본 결과, 이는 OFFICE 2007 SP1 (서비스팩1)에서 발견된 버그로,

960 픽셀까지만 저장되고 나머지는 잘려서 나온다

해당 화면은

http://www.experts-exchange.com/Software/Office_Productivity/Office_Suites/MS_Office/PowerPoint/Q_23116673.html 글 내에 있는

http://filedb.experts-exchange.com/incoming/2008/01_w05/1912/Slide1.JPG 를 참고.

MS 에서는 이에 대한 버그 리포트를 받고, 서비스팩2에서 반영하여 버그를 수정하였다.

그러므로, SP1 사용자인 경우 위 버그가 발생시, SP2로 업그레이드 해주면 된다.

SP2 다운로드 Microsoft 링크 :

http://support.microsoft.com/Default.aspx?kbid=953195

특히 관공서 등에서 주로 보고서용 폰트로 사용하고 있는 '휴먼명조'체.

가끔 보고서 수정을 하거나, 다른 과에서 과제취합을 받는 경우 등 문서를 작성하다 보면

분명히 휴먼명조체인데도

내 한글2010 프로그램에서는 아무 폰트 표시가 되어 있지 않고,

내가 휴먼명조로 지정을 하면,

원래 있는 휴먼명조체와 글씨체가 다르게 나타나며

특히 따옴표 (' , ")같은 문자들이 너비가 특수문자1칸을 전체적으로 차지하게 되면서

ㅁ'14 관리과제 가 의도치않게  

ㅁ  '14 관리과제 처럼 표시되는 문제

내가 쓰고싶은 휴먼명조가 그 휴먼명조체가 아닐때!!!!!

원인은!?

한글 프로그램에서 자체적으로 가지고 있는 휴먼명조체(이것이 내가 찾는 폰트)와,

윈도우에서 가지고 있는 휴먼명조체(C:\windows\fonts폴더에 저장되어 있음)가 둘다 존재할 경우

한글 프로그램에서는 윈도우 폰트를 우선으로 사용하기 때문!!

위 글씨체가 한글 자체 휴먼명조, 아래가 윈도우 휴먼명조

해결방법은 !?

윈도우 폰트 폴더 내에 있는 휴먼명조체 ( HMKMM.TTF ) 파일을 삭제하거나 옮겨 버리면 된다!

윈도우탐색기에서 C:\ Windows \ Fonts 폴더에 들어가서 해당 파일을 찾는다.

파일이름이 아니라 글씨체 이름 형식으로 표시되어 있다면 위에 검색창에 '휴먼명조'를 입력하고 찾아서 삭제한다.

 (일반적으로 '휴먼명조 보통'으로 존재한다)

사용중이라며 삭제가 되지 않을때는 이름변경 후 삭제!

아니면 CMD 창을 이용하여 (윈도우키 + R 후 cmd)

삭제 : del c:\windows\fonts\hmkmm.ttf

안될때는

이름바꾸기 : ren c:\windows\fonts\hmkmm.ttf hmkmm.bak 

그리고 삭제 : del c:\windows\fonts\hmkmm.bak 

그리고 재부팅한 후 한글을 실행시켜 휴먼명조를 확인하면 !! 내가 찾는 휴먼명조!

출처는 : 한글과컴퓨터 홈페이지 FAQ

http://www.hancom.com/faq.faqHcofficeView.do?board_seqno=2708