Windows系统是怎么关机的?调试鱼与渔

最新推荐文章于 2024-06-04 14:28:19 发布
最新推荐文章于 2024-06-04 14:28:19 发布
阅读量436 收藏 1
点赞数
分类专栏: 深造之旅 实践 有趣-好玩 文章标签: windows 操作系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dalerkd/article/details/78357763
版权
深造之旅 同时被 3 个专栏收录
117 篇文章 1 订阅
订阅专栏
实践
88 篇文章 2 订阅
订阅专栏
有趣-好玩
54 篇文章 0 订阅
订阅专栏

你有没有想过操作系统是怎么关机的呢?

操作系统是怎么关机的呢?我同样报有好奇心,在中学时代没有人能解答我的疑问。我在网上搜到也只是开机过程。那么关机呢?它似乎在关掉什么。
至到我开始工作的时候,我开始关注操作系统的安全漏洞,那时候我想如果一个病毒在杀毒软件退出的时候干活,一定很危险。

下面是我逆出来的Windows7关机过程,东西很浓缩:

Created with Raphaël 2.1.0 ExitWindowsEx关机API _NtShutdownSystem _NtSetSystemPowerState/休眠还是关机? PopGracefulShutdown PopShutdownSystem PopInvokeSystemStateHandler(此时远程调试器服务结束无法调试) hal.dll!HalReturnToFirmware(里面是BIOS指令.) 关机

2017-05-19

逆向过程经验分享-渔

  • 首先获取如上信息和探索操作系统 需要 逆向和查看源码。
  • 最靠谱的是逆向跟踪。
  • 涉及系统,建议用联机调试。
  • Windows联机调试推荐用Windbg
  • 没有两台电脑就用虚拟机+VirtualKD
  • 用IDA先去探探路。动态调试这种只针对部分执行路径判断等静态分析搞不清楚的地方。
  • 如何将IDA的地址和你系统中的地址一致?
    Edit->Segments->Rebase Program
  • PDB,windows的PDB虽然不完整但很有用,用Windbg找到并加载合适的pdb。
dalerkd
关注
专栏目录
C++软件调试与异常排查从入门到精通系列文章汇总
dvlinker的技术专栏
06-29 17万+
根据近几年排查软件异常的实践与经验,系统地讲解了C++软件异常常见原因与常用排查方法,以图文并茂的方式给出具体的分析实例,带领大家逐步掌握C++软件异常排查的相关技术与要领。
为什么要学习C++软件调试技术?掌握调试技术都有哪些好处?
热门推荐
dvlinker的技术专栏
05-24 5万+
本文详细讲解为什么要学习C++软件调试技术,以及掌握调试技术都有哪些好处。
如何从内核态重启系统
mj0011的Rootkit科技实验室
02-17 5398
 如何从内核态重启系统呢,一个经常被推荐的简单的解决办法是 用驱动来通知一个用户态的服务并调用ExitWindowsEx函数但是如果你非要想在内核态做这件事呢?那么你可以使用HalReturnToFirmware或NtShutdownSystem函数但是这些函数都是无文档的,如果你使用它们,你的驱动可能无法通过WHQL认证这里提供一种简单的、完全有文档的方法:使用下面的函数
强制重启N种方法
weixin_34390996的博客
03-20 685
1. 无意中看到一种通过控制92H端口bit0位,将其置1来实现重启的方法,刚才测试了一下,效果真好 mov al, 01 out 92h, al 2. 另一种,模拟键盘的reset mov al, 0xfe out 0x64, al 注 i8042 :键盘控制器 8042的端口在cpu的...
Kernel Shutdown
Lycorisradiata
04-18 789
Kernel Shutdown#include"ntddk.h"enum FIRMWARE_REENTRY { HalHaltRoutine, HalPowerDownRoutine, HalRestartRoutine, HalRebootRoutine, HalInteractiveModeRoutine, HalMaximumRoutine }
Windows驱动开发学习记录-驱动中快速重启关闭计算机之一
时空之中的灵魂
09-10 987
引言 关于快速重启和关闭计算机,网上有不少软件在Ring3下调用ZwShutdownSystem (NtShutdownSystem)来实现,虽然速度很快,但还至少经历一些流程,比如向设备驱动发送停机通知等。以下内容摘自<<深入解析Windows操作系统第6版(下册)>> P528: 一旦Csrss已经完成了向系统进程传达系统停机的通知,Winlogon最后调用执行体子系统函数 NtShutdownSystem,从而结束停机过程。 N...
Windows 蓝牙BLE调试工具
09-03
Windows BLE调试工具是一款运行在Windows下的BLE调试软件,实现了扫描、连接、获取BLE设备上的服务以及向服务写入和读取数据的功能。
【C++软件调试技术】什么是pdb文件?如何使用pdb文件?哪些工具需要使用pdb文件?
最新发布
dvlinker的技术专栏
06-04 1万+
本文结合多年来排查C++软件异常的实践,详细介绍什么是pdb文件,哪些工具需要使用到pdb文件,以及如何去使用pdb文件,以供大家借鉴或参考。
Windows和Linux下排查C++软件异常的常用调试器与内存检测工具详细介绍
dvlinker的技术专栏
08-17 2万+
本文详细介绍了Windows和Linux下排查C++软件异常的常用调试器与内存监测工具。
对A盾原理的小小总结,膜拜A神
weixin_33704591的博客
02-24 219
A盾的原理是在驱动加载时重载os内核,获取原始ssdt表的地址。 应用层点击查询的代码在文件A-ProtectView.cpp中,每种点击操作调用相应的 query查询函数,在query函数里ReadFile。读操作的Handle是A盾自定义的操作码, 类似DeviceIoControl的控制码,比如handle为LIST_SSDT,LIST_INLINEHOOK等。 驱动加载...
驱动系统重启方法
zzz3265的专栏
01-13 1380
1. out  0x92, 0x01  主要对A20的控制 ; Bit 0 - Setting to 1 causes a fast reset (Used to switch back to real mode) ; Bit 1 - 0: disable A20; 1: enable A20 ; Bit 2 - Manufacturer defined ; Bit 3 -
Netty优雅退出机制shutdownGracefully源码分析
xu_Melon的博客
02-01 1万+
使用Netty开发的小伙伴肯定对下面这两句代码非常熟悉了 bossGroup.shutdownGracefully(); workerGroup.shutdownGracefully();那就是Netty中大名鼎鼎的优雅退出,顾名思义它的作用就是使线程池退出,用我们都用过,那么它到底是如何工作的呢? 由于Netty处理的是线程池,线程池的关闭要求其中的每一个线程关闭。而线程的实现实在Si
【转载】分析Windows的死亡蓝屏(BSOD)机制
danxuezx的专栏
02-20 2032
对于Windows系统来说,被人们视为洪水猛兽的蓝屏也是一种有利于系统稳定的机制。蓝屏其实是Windows系 统的一种自查机制,一但系统发现自己哪里有些不对劲后就立即抛出蓝屏,来阻止错误蔓延。倘若没有蓝屏机制,那么可能很小的一个错误最后会不断的酝酿导致系 统数据损坏的严重后果。而事实上因为Windows系统自身导致的蓝屏其实是少之又少的,更多的蓝屏诱因是各种驱动程序,因为作者个人对Rootkit类 程序感兴趣,因此在平时的学习过程中深感各种不良的内核HOOK或者过滤驱动是诱发蓝屏的小能手。当然不符合微软规定
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值