- 博客(14)
- 资源 (6)
- 收藏
- 关注
RSS订阅原创 IDT
中断描述符表寄存器(Interrupt Descriptor Table Register, IDTR)存储了中断描述符表(Interrupt Descriptor Table, IDT)在内存中的基地址.IDT是一个有256个入口的线形表,每个IDT的入口是个8字节的描述符,所以整个IDT表的大小为256*8=2048 bytes.每个中断向量关联了一个中断处理过程。所谓的中断向量就是把
2012-05-29 15:43:04
2054
1
原创 KPCR
由于Windows需要支持多个CPU, 因此Windows内核中为此定义了一套以处理器控制区(Processor Control Region)即KPCR为枢纽的数据结构, 使每个CPU都有个KPCR. 其中KPCR这个结构中有一个域KPRCB(Kernel Processor Control Block)结构, 这个结构扩展了KPCR. 这两个结构用来保存与线程切换相关的全局信息. 通常fs
2012-05-29 14:21:55
22376
6
原创 GDT
以前的Intel 8086 是16位的CPU,它有着16位的寄存器,16位的数据总线,20位的地址总线以及1MB的寻址能力。一个地址是由段和偏移两部分组成的,物理地址遵循如下计算公式:物理地址(Physical Address)= 段值(Segment)*16 + 偏移(Offset)其中,段值和偏移都是16位的。从80386开始,Intel家族的CPU进入32位时代。80386有32
2012-05-29 14:08:33
2107
原创 系统启动步骤
在xp系统下,系统引导过程中涉及到的组件.主要过程:打开电源---->通电自检(Power-On Self Test,POST)[这一步主要会对计算机中安装的处理器、内存等硬件进行检测]。---->BIOS读取硬盘中的0道0面0区(MBR主引导区)的内容,执行前446字节程序代码,分析并检测当前分区表的完好性和可用性,再根据MBR中的分区表信息内容,寻找到当前可引导活动
2012-05-29 13:57:05
1454
原创 MBR
最近各种MBR病毒泛滥啊,正好看到系统启动那里,就把这方面的也看了吧,写点心得体会,以后忘了还可以回来看。硬盘布局示例:物理磁盘是按照一种称为扇区的单元来寻址的。一个硬盘的扇区通常是512字节。为磁盘做卷划分准备的工具,如fdisk或者Windows Setup程序,它们在硬盘的第一个扇区中写入一扇区数据,这些数据就是主引导记录,即MBR。MBR包含有可执行的指令(称为引导
2012-05-29 13:52:49
1598
原创 获得用户SID
最近的项目需要 是得到当前用户的SID我用的方法比较山寨,就是枚举HKEY_USERS下的所有键,此方法的优点是可以枚举出本机上全部有效的SID------------------------------------------------------------------------------------------------------------------
2012-05-29 11:15:46
7384
原创 GKR阳光版 RegFilter.sys<=2.0.00 多处内核拒绝服务漏洞
今天实在是无聊了,看到卡饭有个HIPS 叫GKR阳光版,正在做活动,还比较火,于是下载下来看之。发现有不少的内核拒绝服务漏洞。受影响的版本号:驱动:RegFilter.sys示例函数:NtCreateKey偏移:5076IDA汇编代码如下:PAGE:000150A0 mov ebx, [ebp+10h]PAGE:000
2012-05-29 10:32:33
2311
原创 PowerTool kEvP.sys<=V4.2 内核拒绝服务漏洞
百度百科:PowerTool 一款免费强大的进程管理器,支持进程强制结束,可以Unlock占用文件的进程,查看文件/文件夹被占用的情况,内核模块和驱动的查看和管理,进程模块的内存的dump等功能。最新版还支持上传文件在线扫描病毒。支持离线的启动项和服务的检测和删除,新增注册表和服务的强删功能,可在PE系统下清除感染MBR的病毒(如鬼影等),通过Windows7 SP1的测试。 ---
2012-05-29 10:24:59
10537
1
原创 Anti 消息钩子注入
MSDN上对消息钩子的描述:The SetWindowsHookEx function installs an application-defined hook procedure into a hook chain. You would install a hook procedure to monitor the system for certain types of events. Th
2012-05-29 10:16:20
3768
1
原创 瑞星2011、2012神马的各种内核拒绝服务漏洞
看了看雪上的这篇帖子《瑞星全功能安全软件2011内核拒绝服务漏洞》http://bbs.pediy.com/showthread.php?t=151241。里面提到的驱动签名时间签名是2011.12.6,看来是很长时间没更新了啊。于是到他官网上下载了最新版本的瑞星杀毒软件2012(很久没用瑞星了,新版UI还不错)。操起IDA一看,2011版本和2012版本的Hook框架貌似
2012-05-28 20:45:10
1293
原创 WinDbg下断驱动入口
这个问题虽然是比较老了,但是看雪上还有同学提到,在这里做个总结,给像我这样的新手看看。 1)直接修改入口用c32asm或者其他PE编辑工具,修改开头的几个字节,改成cc,即int 3。这样,驱动加载的时候就会断在这里了。ps:这种方法对于有校验的驱动可能不太适用。2)下断IopLoadDriver这里的EDI其实就是DriverObject。Driv
2012-05-28 17:56:24
2250
原创 说说猎豹安全浏览器
最近金山也加入了浏览器大军,推出了其首款浏览器 - “猎豹”,主打安全牌,直指360安全浏览器。我在第一时间拿到了猎豹浏览器的安装包,使用感受是,总体来说还不错,但是需要完善的地方还有很多。其中其主打宣称的BIPS (Browser Intrusion Prevention System)安全系统有种令人眼前一亮的赶脚,是否真的有这么神奇吗?于是我操起IDA简单的分析了一下。1.猎豹浏览器
2012-05-24 11:34:59
5395
4
原创 费尔V8智能杀毒多处内核拒绝服务漏洞
V8藏着掖着搞了这么多年,除了主界面弄了个毫无用处的动画外,其他附加的程序,例如“隔离区”,“日志管理器”等都是老版本的程序,感觉连个人作品都不如,山寨中的战斗机。哎,让吾等正版用户及其失望。V8杀毒软件的动态防御驱动filnk.sys在内核对多个系统函数进行了hook,但是对Ring3传递进来的参数都没有任何的有效性检查就直接使用了。因此,造成了内核拒绝服务漏洞。这里以其Hook的N
2012-05-24 11:09:17
2359
2
原创 正式转战CSDN
用了几年的百度空间了,一直很喜欢它的简洁,无广告,正因为这点,所以才会有很多程序员在其上面开博客。最近百度空间改版了,搞的跟人人小站一样,完全失去了其原有的风格,真心失望。故转战CSDN,这里才是适合我们程序员的地方。仅以此文纪念我的百度空间:http://hi.baidu.com/new/minzhenfei
2012-05-24 11:03:09
1419
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人