windows内核
eagleatustb
学习永远没有终点
展开
-
Windows内存管理(1)
Memory Management 内存管理器通过在虚拟内存空间提供一系列核心服务:内存映射文件,内存写时复制,大内存支持,以及一些底层的支持等来进行缓存管理。 内存管理来会涉及到的主题: 一、关于内存管理 二、内存管理函数的使用 三、内存管理参考手册 以下先重点讲理论和概念,结合代码使用,交叉穿插以及形象原创 2013-05-04 18:43:26 · 1617 阅读 · 0 评论 -
远程注入执行函数
最近在看病毒相关内容,看着大部分知识都知道,不知道用起来行不行。下午正好有人问怎么注入线程,在公司用《windows核心编程》的注入DLL程序修改了一下,实现了远程注入DLL调用函数。刚才回来,觉得照着别人的程序改,总还是学不到家,自己花了两个小时写了一个。能注入到其他进程中,执行弹出MessageBox框。当然,能注入去弹出这个框,就能干很多坏事了,看你想干什么了。把代码贴上来,也不改了,反正能原创 2013-01-29 23:13:46 · 1386 阅读 · 0 评论 -
win7下的Object Header结构
参考了一下第四版的windows internals书,看到上面写的object header结构有些不同,查了些资料,发现的确,微软作了修改,以下是在win7下得到的结构。lkd> dt nt!_object_header +0x000 PointerCount : Int4B +0x004 HandleCount : Int4B +0x004 Ne原创 2013-03-13 10:01:28 · 1849 阅读 · 0 评论 -
windows internals 6th edition 初读笔记
前两周心血来潮,直接买了一本英文版的windows internals 6th edition,因为第四版虽然有潘爱民译的中文,但上面的WDK版本已经不同,第六版本也刚出不久,人民邮电出版社直接拿到了大陆英文版的版权,可喜可贺。 看了大概两周,进度不快,才看了120页左右。在公司拿一台弃用的电脑,装了win7,配上WDK以及一些开发需要的工具,在官网上找了勘误表,从头到尾改完书上的错原创 2013-03-05 11:24:32 · 2423 阅读 · 1 评论 -
关于未公开函数ZwQuerySystemInformation的使用
最近看一些关于内核方面的资料,碰到未公开函数,未能在微软官方找到答案,从网上了解到一些信息,摘录下来备用。 我看到驱动程序调用的一段代码的使用:ULONG GetModuleBase(PCHAR szModuleName){ ULONG uSize = 0x10000; PVOID pModuleInfo = ExAllocatePoolWithTag(NonP原创 2013-07-16 14:02:39 · 10990 阅读 · 0 评论 -
保护模式下的段寄存器值转化为线性地址过程
关键字:段寄存器、段选择子、全局描述符表、局部描述符表、段描述符、线性地址; 保护模式下使用段机制的CS,SS,DS,ESt,FS,GS保存的并不是实模式下的段地址,而是一个包含了段选择子和偏移地址的组合值。CPU在读取内存的时候,需要将段寄存器的值解析成为段地址,才能定位找到相应的段。下面我们一步一步解析这个过程。 知识点: 段寄存器值=段选择子原创 2013-07-23 14:55:29 · 3846 阅读 · 1 评论 -
8259A可编程中断控制器芯片中断过程
8259A:可编程中断控制器芯片(PIC),它是可以用程序控制的中断控制芯片。单个的8259A能管理8级向量优先级中断。在不增加其他电路的情况下,最多可以级联成64级的向量优级中断系统。8259A内部结构由8个部分组成:(1)数据总线缓冲器(DATA BUS BUFFER):将8259A连接到系统数据总线上,控制字和状态信息通过此传送。(2)读/写控制逻辑(READ/WRITE原创 2013-12-13 22:38:37 · 6394 阅读 · 0 评论