4.操作系统|Linux|汇编
文章平均质量分 75
feijj2002_
这个作者很懒,什么都没留下…
展开
-
操作系统分页机制
WIN32 汇编和以前教科书上的汇编的不同之处WIN32 当然要涉及到界面了,没界面还搞个鬼哦以前俺们学的都是DOS 16位汇编现在技术进步了,学32位啦 NND在DOS下,16位采用段寄存器寻址方式,也就是二级寻址方式具体的就是前N位为寄存器地址,存放在寄存器中,后N位为为偏移地址 ,用得真是痛苦啊,分段寻找,比追超级MM还难;追MM可以直接寻址,不管寻到的地址的内容是什么,但是能直接得到结果.原创 2005-07-24 21:48:00 · 6442 阅读 · 0 评论 -
利用内核级通用HOOK检测系统中的进程(转载)
介绍通用Hook的一点思想: 在系统内核级中,MS的很多信息都没公开,包括函数的参数数目,每个参数的类型等。在系统内核中,访问了大量的寄存器,而很多寄存器的值,是上层调用者提供的。如果值改变系统就会变得不稳定。很可能出现不可想象的后果。另外有时候对需要Hook的函数的参数不了解,所以不能随便就去改变它的堆栈,如果不小心也有可能导致蓝屏。所以Hook的最佳原则是在自己的Hook函数中呼叫原函数原创 2005-05-16 23:09:00 · 1123 阅读 · 0 评论 -
“任务管理器”中的系统进程
系统进程最基本的系统进程(也就是说,这些进程是系统运行的基本条件,有了这些进程,系统就能正常运行): smss.exe 这是一个会话管理子系统,负责启动用户会话。System Idle Process:这个进程是作为单线程运行在每个处理器上,并在系统不处理其它线程的时候分派处理器的时间。 csrss.exe 子系统服务器进程 winlogon.exe 管理用户登录 services.exe 包含很原创 2005-05-21 16:04:00 · 2530 阅读 · 0 评论 -
Widnwos 2000 命令集合
accwiz.exe > Accessibility Wizard for walking you through setting up your machine for your mobility needs. 辅助工具向导 acsetups.exe > ACS setup DCOM server executable actmovie.exe > Direct Show setup tool原创 2005-05-24 15:26:00 · 796 阅读 · 0 评论 -
[汇编理论]汇编语言
一、数据传输指令 ─────────────────────────────────────── 它们在存贮器和寄存器、寄存器和输入输出端口之间传送数据. 1. 通用数据传送指令. MOV 传送字或字节. MOVSX 先符号扩展,再传送. MOVZX 先零扩展,再传送. PUSH 把字压入堆栈. POP 把字弹出堆栈. PUSHA 把AX,CX,DX,BX,SP,BP,SI,DI依次压入堆栈. P转载 2006-03-12 18:26:00 · 2365 阅读 · 1 评论 -
内存与进程管理器
来源:https://www.xfocus.net/bbs/index.php?act=ST&f=2&t=58182内存与进程管理器========================== But I fear tomorrow Ill be crying, Y转载 2006-02-23 12:59:00 · 1930 阅读 · 0 评论 -
[汇编理论]80x86保护模式
一.保护方式简介80386有三种工作方式:实模式,保护模式和虚拟8086模式。本文介绍保护方式下的80386及相关的程序设计内容。实模式下的80386寄存器,寻址方式和指令等基本概念,除特别说明外在保护方式下仍然保持。 尽管实方式下80386的功能要大大超过其先前的处理器(8086/8088,80186,80286),但只有在保护方式下, 80386才能真正发挥更大的作用。在转载 2006-03-08 13:18:00 · 5232 阅读 · 3 评论 -
远程注入线程,屏蔽Ctrl+Alt+Del
关键字 Ctrl,Alt,Delete,Windows 2000,hook,SAS,GINA,WINAPI,API,Thread 如何: 在Windows2000中动态禁用/启用Ctrl-Alt-Delete -------------------------------------------------------------------------------- 此文章的原创 2007-06-22 20:46:00 · 7706 阅读 · 1 评论 -
钩子
钩子的类型和实现 Windows系统是建立在事件驱动的机制上的,说穿了就是整个系统都是通过消息的传递来实现的。而钩子是Windows系统中非常重要的系统接口,用它可以截获并处理送给 其他应用程序的消息,来完成普通应用程序难以实现的功能。钩子可以监视系统或进程中的各种事件消息,截获发往目标窗口的消息并进行处理。这样,我们就可以在系统中安装自定义的钩子,监视系统中特定事原创 2007-06-26 22:18:00 · 1632 阅读 · 0 评论 -
挂钩
=====[ 1. 内容 ]============================================= 1. 内容 2. 介绍 3. 挂钩方法 3.1 运行前挂钩 3.2 运行时挂钩 3.2.1 使用IAT挂钩本进程 3.2.2 改写入口点挂钩本进程 3.2.3 保存原始函数 3.2.4 挂钩其它进程 3.2.4.1 DLL注入 3.2.4.2 独立的代码 3.2.4.3 原始修改转载 2007-05-03 18:52:00 · 1171 阅读 · 0 评论 -
简明x86汇编
第○章 写在前面我不想夸大或者贬低汇编语言。但我想说,汇编语言改变了20世纪的历史。与前辈相比,我们这一代编程人员足够的幸福,因为我们有各式各样的编程语言,我们可以操作键盘、坐在显示器面前,甚至使用鼠标、语音识别。我们可以使用键盘、鼠标来驾驭“个人计算机”,而不是和一群人共享一台使用笨重的继电器、开关去操作的巨型机。相比之下,我们的前辈不得不使用机器语言编写程序,他们甚至没有最简单的汇编转载 2007-05-06 11:23:00 · 6878 阅读 · 1 评论 -
保护模式_1
保护模式简介转自:http://www.pagoda-ooos.org/在8086/8088时代,处理器只存在一种操作模式(Operation Mode),当时由于不存在其它操作模式,因此这种模式也没有被命名。自从80286到80386开始,处理器增加了另外两种操作模式——保护模式PM(Protected Mode)和系统管理模式SMM(System Management Mode),因此,8转载 2007-05-06 11:18:00 · 1239 阅读 · 0 评论 -
保护模式_2
[原创] 操作系统DIY - 进入保护模式 预备知识: 熟悉 i386 CPU寄存器,了解实模式及保护模式模式; 了解A20门 文本模式下直接显存操作涉及工具: NASM,一个文本编辑器(我用的是ConText + NASM语法高亮),QEMU/VMWARE虚拟机前言: 近期确实很忙,论坛里有一位朋友写的代码进入不了保护模式;转载 2007-05-06 11:39:00 · 2196 阅读 · 0 评论 -
A20 Gate
A20 Gate转自:http://www.pagoda-ooos.org/很多稀奇古怪的东西都是由于系统升级时,为了保持向下兼容而产生的,A20 Gate就是其中之一。 在8086/8088中,只有20根地址总线,所以可以访问的地址是2^20=1M,但由于8086/8088是16位地址模式,能够表示的地址范围是0-64K,所以为了在8086/8088下能够访问1M内存,Intel采取了分转载 2007-05-12 20:29:00 · 2097 阅读 · 0 评论 -
保护模式简介
保护模式简介转自:http://www.pagoda-ooos.org/在8086/8088时代,处理器只存在一种操作模式(Operation Mode),当时由于不存在其它操作模式,因此这种模式也没有被命名。自从80286到80386开始,处理器增加了另外两种操作模式——保护模式PM(Protected Mode)和系统管理模式SMM(System Management Mode),因此,8转载 2007-05-12 20:29:00 · 1727 阅读 · 1 评论 -
自己编制windows的后台进程程序
在WINDOWS NT 中有一个功能强大的SERVICE 管理器, 它管理着一部分实现重要功能的后台进程, 例如FTP.HTTP.RAS. 网络Message 等等, 这些后台进程被称之为Service, 他们可以在系统启动时就加载, 可以运行在较高的优先级, 可以说是非常靠近系统核心的设备驱动程序中的一种. WINDOWS95 没有提供SERVICE 管理器, 取而代之的是一个简单的登记接口,原创 2005-05-24 15:48:00 · 3284 阅读 · 0 评论 -
解析Winndows 2000/XP物理内存管理
解析Winndows 2000/XP物理内存管理 物理内存是相对比较紧张的资源,合理利用将是一个操作系统的性能的关键。Windows 2000/XP内部使用一个称为页框数据库(Page Frame Database)的结构用于描述物理内存的状态。本文将从这一结构入手详述Windows物理内存的组织与管理。 Windows将物理内存按PAGE_SIZE(在x86上,为0x1000字节,即4原创 2005-05-24 15:21:00 · 1681 阅读 · 0 评论 -
Linux核心 (The Linux Kernel)
Linux核心 (The Linux Kernel)作者:毕昕 等(… 文章来源:纯C电子杂志 2005年1月号(总第3期) 点击数: 1314 更新时间:2005-3-2 Linux核心 (The Linux Kernel) 原著:David A Rusling1翻译2:毕昕3、胡宁宁4、仲盛5、赵振平6、周笑波7、李群8、陈怀临9 [编者按]这几位现在已经从南京大学毕原创 2005-05-23 23:58:00 · 2850 阅读 · 0 评论 -
反病毒引擎设计——虚拟机查毒篇
反病毒引擎设计之虚拟机查毒篇作者:NJUE 发文时间:2004.01.14 编者按:绪论《反病毒引擎设计之绪论篇》我们介绍了病毒技术的发展状况和一些病毒的特点和感染机制。下面我们重点对虚拟机查毒进行阐述。 目 录2.1虚拟机概论2.2加密变形病毒2.3虚拟机实现技术详解2.4虚拟机代码剖析 2.4.1不依赖标志寄存器指令模拟函数的分析 2.4.2依赖标志寄存器指令模拟函数的分析2.5反原创 2005-08-31 13:01:00 · 1148 阅读 · 0 评论 -
反病毒引擎设计——绪论篇(转载)
反病毒引擎设计之绪论篇 作者:NJUE 发文时间:2004.01.14 目 录1 绪论1.1背景1.2当今病毒技术的发展状况 1.2.1系统核心态病毒 1.2.2驻留病毒 1.2.3截获系统操作 1.2.4加密变形病毒 1.2.5反跟踪/反虚拟执行病毒 1.2.6直接API调用 1.2.7病毒隐藏 1.2.8病毒特殊感染法 1.绪 论 本文研究的主要内容正如其题目所示原创 2005-08-31 12:52:00 · 1021 阅读 · 0 评论 -
反病毒引擎设计——实时监控篇
反病毒引擎设计之实时监控篇作者:NJUE 文章来源:安全焦点 2004年01月15日 编者按:绪论《反病毒引擎设计之虚拟机查毒篇》我们重点对虚拟机查毒进行了阐述。下面看看如何对病毒实时监控。 目 录3.1实时监控概论3.2病毒实时监控实现技术概论3.3 WIN9X下的病毒实时监控 3.3.1实现技术详解 3.3.2程序结构与流程 3.3.3 HOOKSYS.VX原创 2005-08-31 13:04:00 · 1750 阅读 · 0 评论 -
(转载)Win2k内存篇 分页机制 (二)
JIURL玩玩Win2k内存篇 分页机制 (二)作者: JIURL 主页: http://jiurl.yeah.net 日期: 2003-7-30 8种转换由于页表被映射到了0xc0000000 开始的4MB地址空间。所以我们也可以象CPU那样完成虚拟地址到物理地址的转换。系统按照对应虚拟空间的先后顺序,把一个进程的页表映射在0xc0000000 开始的4M原创 2005-09-10 11:14:00 · 1778 阅读 · 0 评论 -
WINDOWS中Shell文件操作的监控(转载)
一、利用WIN32API编制监视程序(哈尔滨 赵晓辉) 监视程序,这个名字听起来似乎很陌生。它的用途主要是在后台监视系统中关键信息的改变,比如注册表的改变及硬盘上由于文件操作引起的改变等等。 也许有人会问了,编制这样的程序有什么价值呢?硬盘上文件改变了,我只要在资源管理器里点一点不就全都清楚了吗?问题当然不会这样简单,如今大家的硬盘都已经用G来做单位了,一块4.3G的硬盘中,大大小小的文件全都原创 2005-09-10 12:42:00 · 4261 阅读 · 0 评论 -
病毒编程技术-1(转载)
文 / 温玉洁 生活在网络时代,无论是作为一名程序员抑或是作为一名普通的电脑使用者,对病毒这个词都已经不再陌生。网络不仅仅是传播信息的快速通道,从另外一个角度来看,也是病毒得以传播和滋生的温床,有资料显示,未安装补丁的Windows操作系统连接至internet平均10-15分钟就会被蠕虫或病毒感染。各种类型的病毒,在人们通过网络查阅信息、交换文件、收听视频时正在悄悄地传播。这些病毒或蠕虫不仅在原创 2005-09-12 21:40:00 · 2633 阅读 · 0 评论 -
病毒编程技术-3
* API函数地址的获取 在能够正确重定位之后,病毒就可以运行自己代码了。但是这还远远不够,要搜索文件、读写文件、进行进程枚举等操作总不能在有Win32 API的情况下自己用汇编完全重新实现一套吧,那样的编码量过大而且兼容性很差。Win9X/NT/2000/XP/2003系统都实现了同一套在各个不同的版本上都高度兼容的Win32 API,因此调用系统提供的Win32 API实现各种功原创 2005-09-12 21:42:00 · 1793 阅读 · 0 评论 -
病毒编程技术-5
网络共享资源也是按树状组织的,非叶节点称为容器(container),对容器需要进一步搜索直到到达叶子节点为止,叶子节点才是共享资源的根路径。共享资源一般分成两种:共享打印设备和共享文件夹。对于网络共享文件的搜索,采用WNetOpenEnum和WNetEnumResource(由mpr.dll导出)进行递归枚举。其函数原型及参数含义请参阅MSDN,使用如下代码enumshare.cpp将显示所有的原创 2005-09-12 21:46:00 · 2538 阅读 · 0 评论 -
病毒编程技术-4
解析PE文件的导出函数表 PE文件的函数导出机制是进行模块间动态调用的重要机制,对于正常的程序,相关操作是由系统加载器在程序加载前自动完成的,对用户程序是透明的。但要想在病毒代码中实现函数地址的动态解析以取代加载器,那就有必要了解函数导出表的结构了。在图1中可以看到在PE头结构IMAGE_OPTIONAL_HEADER32结构中包含一个DataDirectory数组结构,该结构包含16个成员,每原创 2005-09-12 21:43:00 · 1729 阅读 · 0 评论 -
(转载)Win2k内存篇 分页机制 (一)
JIURL玩玩Win2k内存篇 分页机制 (一)作者: JIURL 主页: http://jiurl.yeah.net 日期: 2003-7-30 基本概念 Windows 2000 使用基于分页机制的虚拟内存。每个进程有4GB的虚拟地址空间。基于分页机制,这4GB地址空间的一些部分被映射了物理内存,一些部分映射硬盘上的交换文件,一些部分什么也没有映射原创 2005-09-10 11:06:00 · 1402 阅读 · 0 评论 -
病毒编程技术-2
* Windows平台和PE文件格式 Windows平台是当今最为流行的桌面系统,在服务器市场上,也占有相当的份额。其可执行文件(普通的用户程序、共享库以及NT系统的驱动文件)采用的是PE(Portable Executebale)文件格式。病毒要完成各种操作,在Windows系统上一般都是通过调用系统提供的API进行的,以保证在各种Windows版本上都能运行,因此读者应对基本原创 2005-09-12 21:41:00 · 2428 阅读 · 0 评论 -
剖析Windows系统服务调用机制
剖析Windows系统服务调用机制作者:Brief 文章来源:xfocus 点击数: 491 更新时间:2005-2-4剖析Windows系统服务调用机制发布日期:2004-05-08文摘内容: 文摘出处:http://www.xfocus.net/articles/200405/696.html创建时间:2004-05-06文章属性:原创文章提交:Brief (brie原创 2005-05-23 23:27:00 · 1042 阅读 · 0 评论 -
计算机系统结构
计算机系统结构作者:吕建鹏(译… 文章来源:纯C电子杂志 2005年1月号(总第3期) 点击数: 1443 更新时间:2005-3-2 操作系统概念(第六版)第二章 计算机系统结构原著:Abraham Silberschatz,Peter Baer Galvin,GreGangne翻译:吕建鹏(webmaster@tulipsys.com) 在研究计算机系统运行的细节之前原创 2005-05-24 00:04:00 · 3674 阅读 · 1 评论 -
一致代码段和非一致代码段
之所以出现这个定义是因为系统要安全:内核要和用户程序分开..内核一定要安全.不能被用户程序干涉.但是有时候用户程序也需要读取内核的某些数据,怎么办呢?操作系统就引入了访问特权等级(0-3)的机制.这些特权等级,通过三个符号来体现CPL/DPL/RPL.其中CPL是存寄存器如CS中,RPL是代码中根据不同段跳转而确定,以动态刷新CS里的CPL.DPL是在GDT/LDT描述符表中,原创 2009-09-26 13:56:00 · 15123 阅读 · 10 评论