深入探索Windows系统
文章平均质量分 82
Kendiv
这个作者很懒,什么都没留下…
展开
-
《Undocumented Windows 2000 Secrets》翻译 --- 第六章(3)
第六章 在用户模式下调用内核API函数翻译:Kendiv( fcczj@263.net )更新:Friday, May 06, 2005 声明:转载请注明出处,并保证文章的完整性,本人保留译文的所有权利。 将系统模块和驱动程序加载到内存中NtQuerySystemInformation()是Windows 2000系统编程中主要API函数之一,几乎所有内建的管理工具都使用了该函数,但是你不会在D翻译 2005-05-06 15:58:00 · 3707 阅读 · 0 评论 -
《Undocumented Windows 2000 Secrets》翻译 --- 第一章(补充:PDB格式)(3)
第一章 Windows 2000对调试技术的支持翻译:Kendiv ( fcczj@263.net )更新:Tuesday, May 03, 2005 声明:转载请注明出处,并保证文章的完整性,本人保留译文的所有权利。 CodeView子节(CodeView Subsections)CodeView是微软自己的调试信息格式。随着微软C/C++编译器和链接器的发展它也经历了很多变化。有些Cod翻译 2005-05-21 04:43:00 · 3506 阅读 · 0 评论 -
《Undocumented Windows 2000 Secrets》翻译 --- 第一章(补充:PDB格式)(2)
第一章 Windows 2000对调试技术的支持翻译:Kendiv ( fcczj@263.net )更新:Tuesday, May 03, 2005 声明:转载请注明出处,并保证文章的完整性,本人保留译文的所有权利。 .dbg文件的内部结构Windows NT 4.0组件的符号化信息均保存在扩展名为.dbg的文件中。如果假设符号文件所在的根目录为:d:/winnt/symbols,则组件f翻译 2005-05-21 04:40:00 · 3409 阅读 · 0 评论 -
《Undocumented Windows 2000 Secrets》翻译 --- 第六章(7)
第六章 在用户模式下调用内核API函数翻译:Kendiv( fcczj@263.net )更新:Sunday, May 15, 2005 声明:转载请注明出处,并保证文章的完整性,本人保留译文的所有权利。 访问未导出的符号为什么我们要允许应用程序执行本该内核驱动程序完成的操作?我们能将应用程序的能力增强到内核驱动程序也无法达到的程度吗?我们可以调用既没有文档化也没有导出的内部函数吗?这听起来有些翻译 2005-05-15 02:29:00 · 2840 阅读 · 1 评论 -
《Undocumented Windows 2000 Secrets》翻译 --- 第六章(2)
第六章 在用户模式下调用内核API函数翻译:Kendiv( fcczj@263.net )更新:Friday, May 13, 2005 声明:转载请注明出处,并保证文章的完整性,本人保留译文的所有权利。在运行时链接到系统模块在实现了基本的内核调用接口之后,接下来的问题是将符号化的函数名解析为线性地址,这一地址时CALL指令所需要的(见列表6-2)。这一步很重要,因为你不能确定内核API函数的入翻译 2005-05-05 06:06:00 · 2971 阅读 · 0 评论 -
(转载)管理员组获取系统权限的完美解决方案
管理员组获取系统权限的完美解决方案创建时间:2005-04-28原文出处:http://www.xfocus.net/articles/200504/795.html原文作者:suei8423 (suei8423_at_163.com)管理员组获取系统权限的完美解决方案Author : ZwelLBlog : http://www.donews.net/zwellDate : 2005.4原创 2005-05-01 14:36:00 · 1990 阅读 · 0 评论 -
《Undocumented Windows 2000 Secrets》翻译 --- 第五章(7)
第五章 监控Native API调用翻译:Kendiv( fcczj@263.net )更新:Friday, April 29, 2005 声明:转载请注明出处,并保证文章的完整性,本人保留译文的所有权利。 一个简单的Hook协议读取程序为了帮助你编写自己的API Hook Client程序,我给出了一个简单的示例行的程序,该程序可以读取Hook协议缓冲区中的数据并在控制台窗口中显示。通过按下P翻译 2005-04-29 16:51:00 · 2629 阅读 · 1 评论 -
《Undocumented Windows 2000 Secrets》翻译 --- 第五章(6)
第五章 监控Native API调用翻译:Kendiv( fcczj@263.net )更新:Thursday, April 28, 2005 声明:转载请注明出处,并保证文章的完整性,本人保留译文的所有权利。 IOCTL函数 SPY_IO_HOOK_REMOVEIOCTL函数SPY_IO_HOOK_REMOVE函数和SPY_IO_HOOK_INSTALL很相似,只不过它执行与SPY_IO_H翻译 2005-04-28 18:20:00 · 2441 阅读 · 0 评论 -
(转载)Win32 调试接口设计与实现浅析
所谓调试器实际上是一个很宽泛的概念,凡是能够以某种形式监控其他程序执行过程的程序,都可以泛称为调试器。在Windows平台上,根据调试器的实现原理大概可以将之分为三类:内核态调试器、用户态调试器和伪代码调试器。 内核态调试器直接工作在操作系统内核一级,在硬件与操作系统之间针对系统核心或驱动进行调试,常见的有SoftICE、WinDbg、WDEB386和i386KD等等;用户态调试器则通过原创 2005-04-27 19:15:00 · 2793 阅读 · 0 评论 -
《Undocumented Windows 2000 Secrets》翻译 --- 第五章(5)
第五章 监控Native API调用翻译:Kendiv( fcczj@263.net )更新:Tuesday, April 19, 2005 声明:转载请注明出处,并保证文章的完整性,本人保留译文的所有权利。 在用户模式下控制API Hooks运行在用户模式的Spy客户端可通过一组IOCTL函数来控制API Hook机制及其生成的协议。这一组函数的名字都以SPY_IO_HOOK_开始,在第四章已翻译 2005-04-19 15:48:00 · 2653 阅读 · 6 评论 -
《Undocumented Windows 2000 Secrets》翻译 --- 第五章(4)
第五章 监控Native API调用翻译:Kendiv( fcczj@263.net )更新:Tuesday, April 12, 2005 声明:转载请注明出处,并保证文章的完整性,本人保留译文的所有权利。 管理句柄要特别注意的是:SpyHookProtocol()函数仅在它内部包含SpyWriteFilter()函数的条件语句返回TRUE时,才会记录API函数调用。这种行为是为了减少Hook翻译 2005-04-12 01:34:00 · 3017 阅读 · 3 评论 -
(转载)Raising The Bar For Windows Rootkit Detection
Raising The Bar For Windows Rootkit Detection创建时间:2005-08-22文章属性:翻译文章提交:linux2linux (linux2linux_at_163.com)==Phrack Inc.== Volume 0x0b, Issue 0x3d, Phile #0x08 of 0x14|=-----------------原创 2005-08-29 21:43:00 · 3519 阅读 · 1 评论 -
(转载)非API函数检测操作系统类型
非API函数检测操作系统类型转自:http://www.xfocus.net/articles/200504/793.html创建时间:2005-04-13 更新时间:2005-04-14文章属性:翻译文章提交:sFqRy (mqphk163_at_163.com)非API函数检测操作系统类型作者:Thomas Kruse,nbw来源:The Assembly-Programming-Journa原创 2005-04-14 06:39:00 · 1639 阅读 · 1 评论 -
(转载)深入分析进程PID相同的奥秘
深入分析进程PID相同的奥秘转自:http://www.xfocus.net/articles/200504/792.html创建时间:2005-04-13 更新时间:2005-04-14文章属性:原创文章提交:sunwear (btwlu_at_163.com)深入分析进程PID相同的奥秘作者:sunwearshellcoder@163.com2005年4月 不同的进程真的不能够拥有相同的原创 2005-04-14 06:40:00 · 3074 阅读 · 1 评论 -
(转载)在Windows 2003中HOOK ZwCreateProcessEx
创建时间:2005-03-09文章属性:原创文章提交:suei8423 (suei8423_at_163.com)作者:ZwelL工作需要,想控制进程的创建,于是HOOK了ZwCreateProcess,后来发现xp和2003中创建进程的都用NtCreateProcessEx(参见[1])。但是ZwCreateProcessEx未被ntoskrnl.exe导出,用softice的ntcall命令也原创 2005-03-29 02:53:00 · 3013 阅读 · 0 评论 -
《Undocumented Windows 2000 Secrets》翻译 --- 第六章(4)
第六章 在用户模式下调用内核API函数翻译:Kendiv( fcczj@263.net )更新:Friday, May 06, 2005 声明:转载请注明出处,并保证文章的完整性,本人保留译文的所有权利。 通往用户模式的桥梁现在,内核调用接口的演化已经缓慢的到达了终点----至少已经涉及内核模式(kernel-mode)。让我们总结一下到目前为止,我们已经获得了什么:l 名为Sp翻译 2005-05-06 20:27:00 · 3405 阅读 · 1 评论 -
《Undocumented Windows 2000 Secrets》翻译 --- 第六章(6)
第六章 在用户模式下调用内核API函数翻译:Kendiv( fcczj@263.net )更新:Saturday, May 14, 2005 声明:转载请注明出处,并保证文章的完整性,本人保留译文的所有权利。 实现内核API 的Thunks其实,可替代简单内核API函数的基本框架已经存在。我称其为“Thunks”,这是Windows行话中常见的一个术语,它代表一小段代码,这段代码是一个前端函数,翻译 2005-05-14 20:04:00 · 3962 阅读 · 0 评论 -
《Undocumented Windows 2000 Secrets》翻译 --- 第七章(4)
第七章 Windows 2000的对象管理翻译:Kendiv( fcczj@263.net )更新:Sunday, May 22, 2005 声明:转载请注明出处,并保证文章的完整性,本人保留译文的所有权利。 线程和进程环境块你可能会很困惑:KTHREAD和EPROCESS结构中的Teb和Peb成员有什么实际价值?Teb,指向一个线程环境块(TEB),见列表7-18。TEB的第一部分是线程信息块翻译 2005-05-23 23:44:00 · 4102 阅读 · 8 评论 -
优先级反转+解决方案
1. 优先级反转(Priority Inversion) 由于多进程共享资源,具有最高优先权的进程被低优先级进程阻塞,反而使具有中优先级的进程先于高优先级的进程执行,导致系统的崩溃。这就是所谓的优先级反转(Priority Inversion)。2. 产生原因 其实,优先级反转是在高优级(假设为A)的任务要访问一个被低优先级任务(假设为C)占有的资源时,被阻塞.而此时又有优先级原创 2007-09-18 01:33:00 · 14202 阅读 · 6 评论 -
Windows内核调试器原理浅析
Windows内核调试器原理浅析创建时间:2004-12-23文章属性:原创文章提交:SoBeIt (kinsephi_at_hotmail.com)Windows内核调试器原理浅析 SoBeIt 前段时间忽然对内核调转载 2007-05-01 15:07:00 · 2605 阅读 · 0 评论 -
(转载)绕过Copy-On-Write机制安装全局Hook
绕过Copy-On-Write机制安装全局Hook创建时间:2005-10-22文章属性:原创文章提交:Addylee (Addylee2004_at_163.com)Jeffrey Richter在他的>一书中对Ring 3级的API Hook方法做了详细的介绍,但是一般的Ring 3无论是修改IAT,还是插入JMP XXX都将导致Copy-On-Write的发生,如果,要在系统范围内安装一个全原创 2005-10-26 21:53:00 · 4436 阅读 · 2 评论 -
《Undocumented Windows 2000 Secrets》翻译 --- 第一章(补充:PDB格式)(4)
第一章 Windows 2000对调试技术的支持翻译:Kendiv ( fcczj@263.net )更新:Wednesday, May 25, 2005 声明:转载请注明出处,并保证文章的完整性,本人保留译文的所有权利。 .pdb文件的内部结构在安装完Windows 20000符号文件之后,你会发现最明显的不同是每个模块都有与其相关的两个符号文件:一个扩展名为.dbg,新增加的那个文件的扩展名翻译 2005-05-25 23:37:00 · 5716 阅读 · 38 评论 -
(转载)检测并禁用隐藏服务
检测并禁用隐藏服务创建时间:2005-05-30文章属性:原创文章提交:linux2linux (linux2linux_at_163.com)隐藏服务的概念是由hxdef 和rootkit这些后门工具提出的。这些后门工具通过挂钩系统本地调用来隐藏自己,原本通过调用Windows API调用查看系统服务的企图都是徒劳的。所以这时的系统是不可靠的,不值得信任的。目前针对查找隐藏服务的工具已经有很多,原创 2005-05-31 07:28:00 · 3360 阅读 · 0 评论 -
《Undocumented Windows 2000 Secrets》翻译 --- 第七章(3)
第七章 Windows 2000的对象管理翻译:Kendiv( fcczj@263.net )更新:Sunday, May 22, 2005声明:转载请注明出处,并保证文章的完整性,本人保留译文的所有权利。进程和线程对象或许最吸引人同时也是最复杂的Windows 2000对象就是进程、线程对象了。这些对象通常是软件开发人员必须处理的顶层对象。一个内核模式组件总是运行在某个线程的上下文中,而一个线翻译 2005-05-22 23:04:00 · 4370 阅读 · 1 评论 -
《Undocumented Windows 2000 Secrets》翻译 --- 第七章(1)
第七章 Windows 2000的对象管理翻译:Kendiv( fcczj@263.net )更新:Thursday, May 19, 2005 声明:转载请注明出处,并保证文章的完整性,本人保留译文的所有权利。 在Windows 2000内部几乎没有什么比它的对象还有趣。如果可以像观看行星表面一样查看操作系统的内存空间,那么对象看起来就像活在行星上的生物。存在着多种类型的对象,有大有小,有复杂翻译 2005-05-20 23:37:00 · 3749 阅读 · 1 评论 -
《Undocumented Windows 2000 Secrets》翻译 --- 第六章(5)
第六章 在用户模式下调用内核API函数翻译:Kendiv( fcczj@263.net )更新:Friday, May 13, 2005 声明:转载请注明出处,并保证文章的完整性,本人保留译文的所有权利。 将调用接口封装为DLL尽管w2k_spy.sys已经导出了针对内核函数的IOCTL调用接口,但该接口在使用时多少有些不太方便。如果你想调用一个简单的函数,如MmGetPhysicalAddre翻译 2005-05-13 23:16:00 · 3003 阅读 · 0 评论 -
《Undocumented Windows 2000 Secrets》翻译 --- 第七章(2)
第七章 Windows 2000的对象管理翻译:Kendiv( fcczj@263.net )更新:Sunday, May 22, 2005 声明:转载请注明出处,并保证文章的完整性,本人保留译文的所有权利。OBJECT_TYPE结构在前面讨论对象表头字段时,总是涉及到“类型对象”或OBJECT_TYPE结构,那么现在就让我们开始讨论它们。正式的来讲,一个类型对象是一种特殊类型的对象,它可以是一翻译 2005-05-22 01:32:00 · 4215 阅读 · 0 评论 -
《Undocumented Windows 2000 Secrets》翻译 --- 第一章(补充:PDB格式)(1)
第一章 Windows 2000对调试技术的支持翻译:Kendiv ( fcczj@263.net )更新:Tuesday, May 03, 2005 声明:转载请注明出处,并保证文章的完整性,本人保留译文的所有权利。 枚举符号 毫不留情的批判完psapi.dll后,现在是说些好话的时候了。psapi.dll可能比较失败,但另一方面,imagehlp.dll却十分完美! 我曾深入研究这翻译 2005-05-21 04:37:00 · 4025 阅读 · 5 评论 -
(转载)利用内核级通用Hook检测系统中的进程
利用内核级通用Hook检测系统中的进程作者: LionD8QQ: 10415468Email: LionD8@126.comBlog: http://blog.csdn.net/LionD8 or http://liond8.126.com/介绍通用Hook的一点思想: 在系统内核级中,MS的很多信息都没公开,包括函数的参数数目,每个参数的类型等。在系统内核中,访问原创 2005-05-14 03:41:00 · 2360 阅读 · 0 评论 -
(转载)玩转Windows /dev/(k)mem (p59-0x10)
原文:“Playing with Windows /dev/(k)mem”(p59-0x10)原作者:crazylord 翻译:RefdomEmail: refdom@xfocus.org (refdom@263.net)Homepage: http://www.xfocus.org /(http://www.opengram.com/)Date:2002-8-11(Refdom注:本文提供的原创 2005-05-13 23:23:00 · 4671 阅读 · 0 评论 -
《Undocumented Windows 2000 Secrets》翻译 --- 第六章(1)
第六章 在用户模式下调用内核API函数翻译:Kendiv( fcczj@263.net )更新:Tuesday, May 03, 2005 声明:转载请注明出处,并保证文章的完整性,本人保留译文的所有权利。 在第二章,我解释了Windows 2000是如何通过中断门机制,来允许用户模式下的程序调用其内核API函数的一个子集----Native API的。第四、五章中提到的程序依赖于设备I/O控制翻译 2005-05-03 15:59:00 · 3179 阅读 · 1 评论 -
(转载)The NT Insider:Stop Interrupting Me -- Of PICs and APICs
The NT Insider:Stop Interrupting Me -- Of PICs and APICs创建时间:2005-03-16文章属性:翻译文章提交:tombkeeper (t0mbkeeper_at_hotmail.com)The NT Insider:Stop Interrupting Me -- Of PICs and APICs 董岩 译greatdong_2001@163原创 2005-03-26 19:46:00 · 1845 阅读 · 0 评论 -
(转载)安全稳定的实现进线程监控
安全稳定的实现进线程监控创建时间:2005-03-24文章属性:原创文章提交:suei8423 (suei8423_at_163.com)安全稳定的实现进线程监控作者:ZwelL 用PsSetCreateProcessNotifyRoutine,PsSetCreateThreadNotifyRoutine来进行进程线程监控我想大家已经都非常熟练了.sinister在>一文中已经实现得很好了.原创 2005-03-26 19:34:00 · 5251 阅读 · 0 评论 -
(转载)监视远程线程的创建
作者: 一块三毛钱邮件: zhongts@163.com日期: 2004.12.29 远程线程技术被大量的使用在木马、蠕虫等软件当中,通过在别的进程中插入线程的方式运行代码,具有相当高的隐蔽性。比如常见的 Explorer.exe 进程中有十几个线程同时运行,在其中插入一个线程后,谁也分辨不出来哪个就是插入的远程线程。本文提供了一种方法可以监视远程线程的创建活动,记录下来远程线程的 ID 等原创 2005-03-26 20:26:00 · 2333 阅读 · 0 评论 -
《Undocumented Windows 2000 Secrets》翻译 --- 第三章(2)
第三章 编写内核模式驱动程序翻译:Kendiv(fcczj@263.net)更新:Tuesday, February 08, 2005 声明:转载请注明出处,并保证文章的完整性,本人保留译文的所有权利。作为补充这里给出DrvInfo.h的内容:// __________________________________________________________翻译 2005-02-08 04:55:00 · 3303 阅读 · 0 评论 -
(转载)从IRQ到IRQL(APIC版)
从IRQ到IRQL(APIC版)发布日期:2005-01-24文摘内容: 文摘出处:https://www.xfocus.net/bbs/index.php?act=ST&f=2&t=45502从IRQ到IRQL(APIC版) SoBeIt 事实上,老久的PIC在很早原创 2005-02-08 01:26:00 · 2339 阅读 · 0 评论 -
《Undocumented Windows 2000 Secrets》翻译 --- 第二章(2)
第二章 The Windows 2000 Native API翻译:Kendiv(fcczj@263.net)更新:Friday, February 04, 2005 声明:转载请注明出处,并保证文章的完整性,本人保留译文的所有权利。Windows 2000运行时库Nt*()和Zw*()函数构成了Native API的基本部分,但并不是主要部分,还有一部分代码位于ntdl翻译 2005-02-06 13:41:00 · 4700 阅读 · 0 评论 -
《Undocumented Windows 2000 Secrets》翻译 --- 附录B(表B-1)
附录 B内核API函数(Kernel API Functions) 附录B包含在第二章讨论的系统模块:win32k.sys、ntdll.dll和ntoskrnl.exe导出的函数列表。N/A表示不支持(Not Available)。 表B-1. Windows 2000 Native API 函数名称INT 2ehNtdll.翻译 2005-02-01 04:38:00 · 3265 阅读 · 0 评论 -
剖析Windows系统服务调用机制
剖析Windows系统服务调用机制发布日期:2004-05-08文摘内容: 文摘出处:http://www.xfocus.net/articles/200405/696.html创建时间:2004-05-06文章属性:原创文章提交:Brief (brief_at_safechina.net)剖析Windows系统服务调用机制Author: BriefE-Mail: Brief#fz5fz.原创 2005-01-31 23:19:00 · 2303 阅读 · 0 评论 -
(转载)再谈进程与端口的映射
再谈进程与端口的映射创建时间:2002-02-05文章属性:原创文章来源:www.whitecell.org文章提交:ILSY (masteruser_at_263.net)Author : ilsy Email : ilsy@whitecell.org HomePage: http://www.whitecell.org 日 期:2002-02-06类 别:安全 关键字:进程 PDE原创 2005-01-18 08:15:00 · 2608 阅读 · 0 评论