- 博客(7)
- 资源 (1)
- 收藏
- 关注
RSS订阅转载 导入表 与 IAT
原文连接:http://www.feiesoft.com/win32asm/win32asm-17-9.html在开始下面几节的介绍前,先来复习一下17.1节中提出的两个概念。首先,PE文件中的数据按照装入内存后的页面属性被划分成多个节,并由节表中的数据来描述这些节。一个节中的数据仅仅是属性相同而已,并不一定就是同一种用途的,比如导入表、导出表等就有可能和只读常
2015-06-22 23:10:37
669
原创 内核函数前缀简单介绍
1.KiEtw系列:本系列内核函数用于系统内核,这些函数只能从内核的内部进行调用,常用的有:KiUserCallbackDispatcher、KiRaiseUserExceptionDispatcher、KiUserApcDispatcher、KiUserExceptionDispatcher等。2.Csr系列:此系列函数用于客户机和服务器运行时,如果您想拦截客户机/服务器方面的操作,
2015-06-19 17:57:22
774
转载 从KPCR中获取内核基地址
原文连接:http://www.cnblogs.com/unixstudio/archive/2012/11/05/2755356.html 操作系统的内核模块根据处理器的个数和是否支持PAE(Physical Address Extension物理地址扩展)分为以下四种 ntoskrnl.exe ---Uniprocessor单处理器,不支持PAE
2015-06-16 13:24:32
1365
转载 Win7 OBJECT_HEADER之TypeIndex解析
Xp下的Object Header: Win7 下的对象头: Windows系统的对象管理中,为了能够从对象头获取对象类型指针,在Win7以前的系统里直接在OBJECT_HEADER里保存了POBJECT_TYPE指针,而这一点在Win7系统里发生了改变。Win7中把所有的对象类型放在了一个表里,这个表叫做ObTypeIndexTable。这个表可以这么定义:POBJE
2015-06-16 11:27:50
634
转载 Windbg 手工玩转句柄表
句柄是Windows对象管理中引入的一个东西,它的实际意义是对象在句柄表中的索引。Windows2000使用的是固定的三层句柄表,而WindowsXP和Windows2003都是使用的动态可扩展的三层句柄表,这是一种很优秀的结构,易扩展,且查找迅速,值得学习。通常情况下每个进程的句柄表都是一级表,当句柄数超过一级表的容量时,就会扩展为二级表,此时二级表中放的是指向一级表的指针。同样,当二级表也放满
2015-06-16 09:31:02
667
转载 (Win7) PspCidTable遍历进程句柄表,枚举进程
本文出自悠然品鉴小悠,转载请注明出处http://www.youranshare.com/blog/sid/102.html先说一下句柄表是什么在windows内核中定义了很多内核对象,像文件对象,线程对象,信号量对象啊等等;而Windows中并没有让我们直接去使用这些对象资源,而是通过句柄让我们去引用这些资源,句柄表就相当于资源的数组,而句柄就是对应资源的索引,每个进程内部都有一个自
2015-06-15 16:42:12
2955
原创 关于代码中区分debug与release、32位与64位、xp还是win7编译的宏定义
在写代码的过程中,我们经常需要考虑这样的一些问题:有一部分代码片段只有在32位编译环境下编译才能通过,在64位编译环境下是无法编译通过的,那么怎样才能判断当前编译环境是32位编译还是64位编译?还有,如何判断当前编译是debug编译还是release编译?再者,有些API是在vista之后才出现的,那又该如何区分当前编译环境是xp还是win7? 这里做下备忘,省得忘了之后又要疯狂的google和百
2015-06-10 15:50:00
1917
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人