- 博客(10)
- 资源 (64)
- 收藏
- 关注
RSS订阅转载 驱动中获取PsActiveProcessHead变量地址的五种方法
标 题: 【原创】驱动中获取PsActiveProcessHead变量地址的五种方法作 者: 静寞时 间: 2012-02-11,03:48:21链 接: http://bbs.pediy.com/showthread.php?t=146340--------------------------------------------------------------------
2013-11-24 09:27:24
3847
1
转载 ring0下的 fs:[124]
反汇编内核函数的时候经常会看到mov eax, fs:[124].一直没弄清楚fs寄存器在ring0存放的是什么。今天查了下资料。 fs寄存器在Ring0中指向一个称为KPCR的数据结构,即FS段的起点与KPCR结构对齐。而在Ring0中fs寄存器一般为0x30。 这样看KPCR的数据结构:nt!_KPCR +0x000 NtTib : _N
2013-11-14 16:18:47
2943
转载 Win32汇编数据对齐相关的伪指令(ALIGN、EVEN、ORG)
32 位的寄存器容量是 4 字节, 如果内存中的数据都按 4*n 字节对齐, 肯定会加快吞吐速度;但事实并非如此, 不同大小的数据可能会让寄存器别别扭扭地去处理, 从而降低了运行速度!如果使用对齐, 就会浪费掉一些内存空间; 其实这是一个需要权衡 "速度" 与 "内存" 得失的问题.准备使用的测试文件:; Test11_1.asm.586.model flat, s
2013-11-12 20:55:15
1334
转载 初步认识MDL
一、内存描述符列表 (MDL) 是一个系统定义的结构,通过一系列物理地址描述缓冲区。执行直接 I/O 的驱动程序从 I/O 管理器接收一个 MDL 的指针,并通过 MDL 读写数据。一些驱动程序在执行直接 I/O 来满足设备 I/O 控制请求时也使用 MDL。驱动程序编写人员不应该假设 MDL 描述的内存页的顺序或内容。驱动程序不得依赖于 MDL 指向的任何位置的数据值,并且不应该直接取消
2013-11-09 20:29:13
1787
转载 寻找调用DebugPort的函数
打开虚拟机,打开一个程序。如 LoadSys.exe之后本机打开Windbg通过串行端口连接虚拟机。lkd->!process 0 0 LoadSys.exe得到LoadSys.exe 的EPROCESS地址如。0x87654321lkd->ba r4 0x87654321+0xec (WIN7上DebugPort 偏移为 0xec,可以通过lkd->dt nt!_
2013-11-09 19:22:33
2887
转载 WINDOWS系统调用 和 SYSENTER系统服务调用过程
Windows 2K通过2Eh中断来实现系统调用的,但是在XP后使用SysEnter来实现系统调用了,同时2Eh中断还是保存着的。不管是2EH中断还是SYSENTER,Windows对所有的系统调用都会生成下面的KTRAP_FRAME堆栈框架。 KTRAP_FRAME框架结构图 用户态下使用2EH中断时,CPU会自动产生0x78和0x74 以保存用户态下的堆栈和指针;若直接是
2013-11-06 13:41:30
3396
转载 Windows 中 FS 段寄存器
代码运行在RING0(系统地址空间)和RING3(用户地址空间)时,FS段寄存器分别指向GDT(全局描述符表)中不同段:在RING3下,FS段值是0x3B(这是WindowsXP下值;在Windows2000下值为0x38。差别就是在XP下RPL=3);运行在RING0下时,FS段寄存器值是0x30。下面以XP为例说说。 一. RING3下的FS 当代码运行在Ri
2013-11-06 13:28:10
4553
转载 sysenter Hook
SYSENETER是一条汇编指令,它是在Pentium® II 处理器及以上处理器中提供的,是快速系统调用的一部分。SYSENTER/SYSEXIT这对指令专门用于实现快速调用。在这之前是采用INT 0x2E来实现的。INT 0x2E在系统调用的时候,需要进行栈切换的工作。由于Interrupt/Exception Handler的调用都是通过 call/trap/task这一类的gate来实现的
2013-11-05 20:51:29
2743
转载 重载内核全程分析笔记
标 题: 【原创】重载内核全程分析笔记作 者: Speeday时 间: 2013-08-20,20:19:46链 接: http://bbs.pediy.com/showthread.php?t=177555还记得七夕的那几天,老V率先把AGP的源码发布出来,然后是EasyDebugger的源码出土,后面陆续有很多大牛把珍藏已久的代码拿出来晒太阳,那段疯狂的日子,让看雪论坛都面
2013-11-05 09:15:44
13166
6
转载 ExAllocatePool函数
如同C里面的malloc一样,内核模式下的ExAllocatePool也是非常重要的.但是一说到ExAllocatePool函数就不得不提ExAllocatePoolWithTag函数.对比一下两个函数的调用方式: PVOID p = ExAllocatePool(Pool_Type, Size); PVOID p = ExAllocatePoolWithTag(Poo
2013-11-04 16:29:39
4546
字体wps.zip 用于linux wps 使用
2020-03-16
Nat_Type_Tester_.rar
2019-12-26
msfupdate.erb
2019-11-04
fuzz工具 teenage mutant ninja turtles
2019-01-14
Sybase ASE 12.5.4 PC 客户端
2018-12-12
Win32 OpenSSL
2015-04-18
ActivePerl
2015-04-18
编写 Debugging Tools for Windows 扩展 实例
2014-04-02
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人