- 博客(75)
- 资源 (11)
- 收藏
- 关注
RSS订阅转载 BIOS中断
转自: http://www.itwen.com/01os/06dos/dos20050830/10763_3.html 为什么要用BIOS BIOS会把启动扇区拷贝至RAM中,并且执行这些代码。除此之外,BIOS还要做很多其它的事情。当一个操作系统刚开始启动时,系统中并没有显卡驱动、软盘驱动等任何驱动程序。因此,启动扇区中不可能包含任何一个驱动程序,我们要采取其它的途径。这个时候
2013-01-07 11:25:15
519
转载 x86\x64\ia64的区别
转自:http://ce.sysu.edu.cn/hope2008/Education/ShowArticle.asp?ArticleID=12644 这几天做MDT时,总是会遇到x86\x64\ia64这几个文件夹。前两者很常见,自从Win7系统出现之后,经常会遇到。于是猜想ia64应该也是CPU的某种架构或版本。现对三者做了下总结。 x86或80x86是英特尔In
2013-01-06 16:33:07
458
转载 用Bochs调试NTLDR
转自 http://www.xfocus.net/releases/200408/a722.html 创建时间:2004-08-05文章属性:原创文章提交:tombkeeper (t0mbkeeper_at_hotmail.com)用Bochs调试NTLDR作 者:于旸邮 件:tombkeeper[0x40]nsfocus[0x2e]com
2012-12-31 15:10:47
521
转载 还是U盘
还是U盘启动的事,看自己的U盘做的不错,有个朋友也想做一个,他的是普通的U盘,4G,不过想来应该和U盘盒也没什么差别。插进机器看了一下,是USB-HDD。 将mbr读进来看一下,没有引导代码,分区表只有一个分区,并且启动标志是01非法启动分区(80是启动分区,00是非启动,其它值非法,不过只用于引导,所以01使用应该没有问题),后面的分区表数据貌似正常,分区标志是0B说明是一个FAT3
2012-12-24 16:15:49
523
转载 真正有效的U盘分区方法
我看了很多帖子,发现想要将U盘分区的朋友绝大部分是和我一样,想用U盘做成一个启动盘同时兼顾文件存储,分区的目的很简单,就是想将启动部分单独做成一个区,以免在日常的应用中使得启动文件染毒或者误操作造成损害。简单的说就是要将U盘分成启动盘+文件存储区。 先说说我的惨痛经历:崭新的金士顿8GU盘,事先做好了win7PE启动盘可正常使用的,在制作这个启动盘的过程中默认已经将U盘格式化成了HDD格式。
2012-12-24 15:43:51
2207
转载 fat32文件系统解析
fat32文件系统解析 2010-05-21 15:17:28| 分类:U盘 | 标签:|字号大中小 订阅通过使用DiskEditor对硬盘的分析,现对硬盘的MBR区及FAT32文件系统做一个详细的介绍。新硬盘->低格后 变化:所有扇区中的字节数据填充为0x00低格后->分区后 变化:写硬盘的MBR(主引导扇区)区分区后->格式华
2012-12-24 15:33:13
870
转载 U盘文件系统(三)
U盘文件系统(三) 优盘上的数据按照其不同的特点和作用大致可分为 5 部分:MBR 区、DBR 区、FAT 区、FDT区和 DATA区。 主引导记录(MBR) 绝对扇区号为:MBR_LBA=0x00000000处是主引导记录,等同位于硬盘的0磁道0柱面1扇区。在总共 512 字节的主引导扇区中,MBR 只占用了其中的 446 个字节(ofs:0 - ofs:1BDH)
2012-12-24 10:19:17
1216
转载 U盘文件系统资料(二)
U盘文件系统资料(二) Windows95 OSR2和Windows 98开始支持FAT32 文件系统,它是对早期DOS的FAT16文件系统的增强,由于文件系统的核心--文件分配表FAT由16位扩充为32位,所以称为FAT32文件系统。在一逻辑盘(硬盘的一分区)超过 512 兆字节时使用这种格式,会更高效地存储数据,减少硬盘空间的浪费,一般还会使程序运行加快,使用的计算机系统资
2012-12-24 10:18:30
1071
转载 U盘文件系统
U盘文件系统 转自:http://feihe027.blog.163.com/blog/static/593258332010422104344418/ 文件系统是指文件命名、存储和组织的总体结构。作为最常见的操作系统Windows来说,它支持的文件格式就是我们所要研究的。FAT(16)、FAT32和NTFS都是Windows的文件系统。其实文件系格式也就是我们经常所说的
2012-12-24 10:16:49
1367
转载 大硬盘限制
MBR中的分区表已经很有年头了,对于它的结构大家也都很了解了。还记得当初由于分区表中的起始扇区、柱面磁头数导致了硬盘的8G限制,后来通过扩展Int13解决了。实际扩展之后的硬盘用了4个字节代表扇区数,因此硬盘容量达到了2TB。我查了一下关于这方面的文章,当然都是早几年的文章了,都很乐观,认为2TB是一个很大的数字,暂时没有影响。 不过现在呢?狼已经来了,现在1TB的硬盘只要700元,2T的
2012-12-20 16:15:12
381
转载 扩展int 13H/调用规范 /大硬盘读写中断/FAT NTFS文件结构
第一部分 简 介一. 硬盘结构简介1. 硬盘参数释疑到目前为止,人们常说的硬盘参数还是古老的 CHS (Cylinder/Head/Sector)参数。那么为什么要使用这些参数,它们的意义是什么?它们的取值范围是什么?很久以前(long long ago ...),硬盘的容量还非常小的时候,人们采用与软盘类似的结构生产硬盘。也就是硬盘盘片的每一条磁道都具有相同的扇区数。由此产生了所
2012-12-19 17:29:52
795
转载 USB硬件攻击危险性初步分析
版权申明:转载自billy1 引言 PC高速总线串行化的“先导者”,当属USB外设总线。今天,可连接多种外设,支持即插即用(PnP)和热插拔的USB外设总线/接口,已基本取代以往用于连接外设的并口和串口。支持PnP和热插拔的USB总线给用户使用外设带来了方便,但与此同时,也能给基于USB硬件的攻击大开方便之门。由于传统安全软件多注重防范通过网络和软件进行的传统攻击,普通PC用户又对USB硬
2012-12-19 17:20:45
1689
转载 USB启动
今天有点事情要做一个USB引导盘,手头正好也没有U盘,不过有一个移动硬盘盒,应该也可以做吧。 网上找了一下,很多工具,不过我的移动硬盘上可有不少数据,要倒出来也费事,怎么在不损坏硬盘数据的情况下将这个硬盘做成引导盘呢? 考虑了一下,USB硬盘要引导,也就3个条件1。MBR可以引导2。分区可以引导3。分区激活 3好办,在硬盘管理中将分区标记成激活就可以了。本来
2012-12-19 16:35:19
421
转载 Debugger can't get KD version information, Win32 error 0n5
Debugger can't get KD version information, Win32 error 0n5local kernel debugging is a really useful feature, however Vista and Windows Server 2008default disable this funtionality. you can do foll
2012-11-16 16:11:12
4521
转载 VS2008如何编译出一个64位的程序
安装64位操作系统不是编译64位程序的必要条件,关键是要装64位程序的编译器。虽然标题写着如何在VS2008中编译,但其实2005也是类似。1. 选择“Build” – “Configuration Manager”菜单,打开配置管理器。点击新建解决方案平台。 2. 选择“x64”平台,点击确定按钮。 3.这时候配置管理器中的平台已经改成刚才选择的x64了,这时候编译出
2012-11-11 09:10:10
714
转载 winsta0,session,desktop,winlogon,default
A window station is an objectthat contains a clipboard, a set of global atoms and a group ofdesktop objects. Only one window station per session is permittedto interact with the user. This window stat
2012-11-07 15:24:09
2299
转载 解决vista和win7在windows服务中交互桌面权限问题:穿透Session 0 隔离
服务(Service)对于大家来说一定不会陌生,它是Windows 操作系统重要的组成部分。我们可以把服务想像成一种特殊的应用程序,它随系统的“开启~关闭”而“开始~停止”其工作内容,在这期间无需任何用户参与。Windows 服务在后台执行着各种各样任务,支持着我们日常的桌面操作。有时候可能需要服务与用户进行信息或界面交互操作,这种方式在XP 时代是没有问题的,但自从Vista 开始你会发现这
2012-11-07 09:56:04
1829
转载 命令行修改注册表访问权限
1、建立文本文件regset.iniregset.ini 文件内容HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2[17]把mountpoints2项设为只允许system控制 其他用户不可控制 [17] 为控制参数三、权限代码表1 - Admini
2012-11-06 11:38:30
4125
转载 Windows调试工具入门-3
Windows调试工具入门-3基本调试操作 http://www.DbgTech.net一、调试器命令窗口 1、简介 使用Windows调试工具进行调试,大部分和调试器之间的交互都是通过调试器命令窗口来进行的。命令的输入、输出都是在调试器命令窗口中显示出来。对WinDbg来说,调试器命令窗口是名为"Command"的窗口;对于KD、CDB和NTS
2012-10-31 16:15:08
915
转载 Windows调试工具入门-2
Windows调试工具入门-2NetRoc http://www.DbgTech.net 本篇介绍Windows调试工具的基本设置和基本操作方法。这里我们会用一个测试程序一步一步说明如何使用WinDbg开始调试工作。首先用VC建立一个名为TestDebug1的控制台项目,并生成它。 一、符号、源码和可执行映像路径设置 使用WinDbg开始调试工作之前,最重要
2012-10-31 16:08:38
574
转载 Windows调试工具入门—1
Windows调试工具入门—1NetRoc http://www.DbgTech.net一、引子 Debugging Tools for Windows是微软发布的一套用于软件调试的工具包(后面如果没有指明,那么我会使用WinDbg来作为这一套调试工具的简称)。我第一次接触是在三年前的一个内核驱动项目,由于进行了IDT中键盘鼠标中断的Hook,使用Softice
2012-10-31 16:02:20
530
转载 谈谈对APC的一点理解
异步过程调用(APCs) 是NT异步处理体系结构中的一个基础部分,理解了它,对于了解NT怎样操作和执行几个核心的系统操作很有帮助。1) APCs允许用户程序和系统元件在一个进程的地址空间内某个线程的上下文中执行代码。2) I/O管理器使用APCs来完成一个线程发起的异步的I/O操作。例如:当一个设备驱动调用IoCompleteRequest来通知I/O管理器,它已经结束处理一个异步I/
2012-10-30 21:09:18
705
转载 异步过程调用(APC)
转自http://ppzzb.blog.sohu.com/84135496.html在Windows NT中,APC被无数次地提到,但在标准Microsoft DDK中却没有说明什么是APC以及应该怎么使用。但是理解APC是理解Windows NT怎么工作的本质。 当然,毫无疑问你们一定知道一些完全支持APC的Win32 API(比如QueueUserApc这个Win32 AP
2012-10-30 21:05:46
670
原创 WIndows内核模式驱动程序运行环境
程序运行时所处的环境 即所谓的执行上下文是程序设计中的重要概念。 对于用户线程而言运行环境也就是线程所属进程的环境, 但对于驱动程序这个问题变得非常复杂。通常这是文件系统开发人员所关心的问题,但所有的内核模式驱动程序开发人员都能得益于对运行环境的深入理解并能使驱动程序拥有更高的性能和更低的开销。 运行环境的概念程序例程的运行环境实际是指其线程和进程的执行环境,在NT系列操作系统中
2012-10-30 20:38:05
1546
原创 一些模糊概念的积累
虚拟内存中内核模式地址 一般来说,Windows的核心代码和Windows的驱动程序加载的位置都是在虚拟地址空间的高2GB的内核地址里(0X80000000~0xFFFFFFFF),Windows操作系统在进程切换的时候,保持内核模式地址是完全相同的。也就是说,所有进程的内核地址映射完全一致,进程切换的时候,只改变用户模式地址的映射。
2012-10-30 17:06:01
388
转载 未公开文档函数的调用
在编写驱动程序的过程中,会经常遇到要调用一些没有在文档中公开的函数,这个该如何处理呢?其实在内核中调用不像ring3层那样麻烦,只需要重新声明一下,下面就以ZwQuerySystemInformation为例示范一下:NTKERNELAPINTSTATUSZwQuerySystemInformation( IN ULONG SystemInformationClass
2012-10-30 16:37:15
611
转载 驱动开发 CTL_CODE 定义说明
ddk中有一个CTL_CODE宏,用这个宏我们可以很方便的定义IOCTL。不管是IRP_MJ_DEVICE_CONTROL还是IRP_INTERNAL_DEVICE_CONTROL包,IOCTL都用如下形式定义:#define IOCTL_Device_Function CTL_CODE(DeviceType, Function, Method, Access)DeviceType:设
2012-10-25 21:43:28
1065
转载 CTL_CODE定义说明
我们在说DeviceIoControl函数时其第二个参数dwIoControlCode就是由CTL_CODE宏定义的,下边我们可以了解一下CTL_CODE的内容。CTL_CODE:用于创建一个唯一的32位系统I/O控制代码,这个控制代码包括4部分组成:DeviceType(设备类型,高16位(16-31位)),Access(访问限制,14-15位),Function(功能 2-13位),Met
2012-10-25 21:42:30
1401
转载 Native Application 开发详解
文章目录: 1. 引子:2. Native Application Demo 展示:3. Native Application 简介:4. Native Application 有何妙用:5. MJ0011 关于 Native Application 的文章整理:6. 互联网上其他关于 Native Application 的文章整理:
2012-10-25 19:59:01
1327
转载 windows内核API种类
在初学windows驱动时,开始除了要学习驱动的加载、调试等准备工作后,就要学习内核的API了,作为初学者在刚刚看到那些很陌生的函数时可能会感到很迷茫,其实这些都是很正常的,就像我们在刚刚接触编程时那样。 今天我在我第一篇正式的博文中总结一下windows内核API函数大概的分类,以便以后看到这些函数时首先能通过函数的名字判断出这个函数大概是做哪方面的工作。 大部分内核API都会有前缀,例
2012-10-25 19:36:53
1568
转载 Nt*和Zw*系列函数的区别
ntdll.dll和ntoskrnl.exe的Nt和Zw系列函数区别in ring3:lkd> ? ntdll!ZwOpenProcessEvaluate expression: 2089999739 = 7c92dd7blkd> ?ntdll!NtOpenProcessEvaluate expression: 2089999739 = 7c92dd7b可以看到,在nt
2012-10-25 19:25:49
938
转载 终止进程的内幕
有来信询问进程结束的有关问题,下面就这个问题简单讨论一下(下面的讨论基于2000,其他NT系统也类似)。 首先看看一个应用程序想要强制结束另一个进程所要做的事:首先获得目标的进程ID,接着利用OpenProcess获取进程句柄(确保足够权限),最后将句柄传给TerminateProcess了结那个进程。 1、OpenProcess通过本机系统服务接口进入核心态,随后调用ntoskrnl
2012-10-25 14:45:54
793
转载 AppInit_Dlls键值
如果你对计算机安全有所了解,那么各种各样的注册表启动项应该会有所了解,今天我会细述一个很著名的启动项:AppInit_Dlls键值。 AppInit_Dlls键值位于注册表 HKLM\Microsoft\Windows NT\CurrentVersion\Windows下面,相对于其他的注册表启动项来说,这个键值的特殊之处在于任何使用到User32.dll 的EXE、DLL、OCX等类型
2012-10-21 16:22:24
2101
转载 Injecting Code Into Privileged Win32 Processes
For a while now, I've been searching for the optimal way to inject code into privileged Win32 processes like lsass.exe, csrss.exe, and winlogon.exe.There are many functions such as the LSA and SAM e
2012-10-17 11:12:08
978
转载 Vista&Win7下CreateRemoteThread应用的若干问题和解决方案
Vista&Win7下CreateRemoteThread应用的若干问题和解决方案在xp、03下面,用CreateRemoteThread往别的进程注入shellcode或者是dll是一件非常容易的事情,甚至是往系统进程里面注入(如svchost、winlogon等),但在vista下,你会发现事情没有那么容易了,就算是在xp下一模一样的代码,在vista下面都有可能给你一个ERROR_N
2012-10-16 10:53:37
4173
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人