莫灰灰的专栏

邮箱:minzhenfei@163.com,欢迎各路大牛探讨技术和人生。

IDT

中断描述符表寄存器(Interrupt Descriptor Table Register, IDTR)存储了中断描述符表(Interrupt Descriptor Table, IDT)在内存中的基地址. IDT是一个有256个入口的线形表,每个IDT的入口是个8字节的描述符,所以整个IDT表...

2012-05-29 15:43:04

阅读数 1664

评论数 1

KPCR

由于Windows需要支持多个CPU, 因此Windows内核中为此定义了一套以处理器控制区(Processor Control Region)即KPCR为枢纽的数据结构, 使每个CPU都有个KPCR. 其中KPCR这个结构中有一个域KPRCB(Kernel Processor Control B...

2012-05-29 14:21:55

阅读数 21158

评论数 6

GDT

以前的Intel 8086 是16位的CPU,它有着16位的寄存器,16位的数据总线,20位的地址总线以及1MB的寻址能力。一个地址是由段和偏移两部分组成的,物理地址遵循如下计算公式: 物理地址(Physical Address)= 段值(Segment)*16 + 偏移(Offset) 其中...

2012-05-29 14:08:33

阅读数 1877

评论数 0

系统启动步骤

在xp系统下,系统引导过程中涉及到的组件. 主要过程: 打开电源 ---->通电自检(Power-On Self Test,POST)[这一步主要会对计算机中安装的处理器、内存等硬件进行检测]。 ---->BIOS读取硬盘中的0道0面0区(MBR主引导区)的内容,执...

2012-05-29 13:57:05

阅读数 1240

评论数 0

MBR

最近各种MBR病毒泛滥啊,正好看到系统启动那里,就把这方面的也看了吧,写点心得体会,以后忘了还可以回来看。 硬盘布局示例: 物理磁盘是按照一种称为扇区的单元来寻址的。一个硬盘的扇区通常是512字节。为磁盘做卷划分准备的工具,如fdisk或者Windows Setup程序,它们在硬盘...

2012-05-29 13:52:49

阅读数 1316

评论数 0

获得用户SID

最近的项目需要 是得到当前用户的SID 我用的方法比较山寨,就是枚举HKEY_USERS下的所有键,此方法的优点是可以枚举出本机上全部有效的SID ---------------------------------------------------------------...

2012-05-29 11:15:46

阅读数 5996

评论数 0

GKR阳光版 RegFilter.sys<=2.0.00 多处内核拒绝服务漏洞

今天实在是无聊了,看到卡饭有个HIPS 叫GKR阳光版,正在做活动,还比较火,于是下载下来看之。发现有不少的内核拒绝服务漏洞。 受影响的版本号: 驱动:RegFilter.sys 示例函数:NtCreateKey 偏移:5076 IDA汇编代码如下: PAGE:00015...

2012-05-29 10:32:33

阅读数 2083

评论数 0

PowerTool kEvP.sys<=V4.2 内核拒绝服务漏洞

百度百科: PowerTool 一款免费强大的进程管理器,支持进程强制结束,可以Unlock占用文件的进程,查看文件/文件夹被占用的情况,内核模块和驱动的查看和管理,进程模块的内存的dump等功能。最新版还支持上传文件在线扫描病毒。支持离线的启动项和服务的检测和删除,新增注册表和服务的强删功能,...

2012-05-29 10:24:59

阅读数 10072

评论数 1

Anti 消息钩子注入

MSDN上对消息钩子的描述: The SetWindowsHookEx function installs an application-defined hook procedure into a hook chain. You would install a hook procedure to...

2012-05-29 10:16:20

阅读数 3049

评论数 1

瑞星2011、2012神马的各种内核拒绝服务漏洞

看了看雪上的这篇帖子《瑞星全功能安全软件2011内核拒绝服务漏洞》http://bbs.pediy.com/showthread.php?t=151241。里面提到的驱动签名时间签名是2011.12.6,看来是很长时间没更新了啊。 于是到他官网上下载了最新版本的瑞星杀毒软件2012(很久没用瑞星...

2012-05-28 20:45:10

阅读数 1176

评论数 0

WinDbg下断驱动入口

这个问题虽然是比较老了,但是看雪上还有同学提到,在这里做个总结,给像我这样的新手看看。   1)直接修改入口 用c32asm或者其他PE编辑工具,修改开头的几个字节,改成cc,即int 3。这样,驱动加载的时候就会断在这里了。 ps:这种方法对于有校验的驱动可能不太适用。 ...

2012-05-28 17:56:24

阅读数 1974

评论数 0

说说猎豹安全浏览器

最近金山也加入了浏览器大军,推出了其首款浏览器 - “猎豹”,主打安全牌,直指360安全浏览器。我在第一时间拿到了猎豹浏览器的安装包,使用感受是,总体来说还不错,但是需要完善的地方还有很多。 其中其主打宣称的BIPS (Browser Intrusion Prevention System)安全...

2012-05-24 11:34:59

阅读数 3951

评论数 4

费尔V8智能杀毒多处内核拒绝服务漏洞

V8藏着掖着搞了这么多年,除了主界面弄了个毫无用处的动画外,其他附加的程序,例如“隔离区”,“日志管理器”等都是老版本的程序,感觉连个人作品都不如,山寨中的战斗机。哎,让吾等正版用户及其失望。 V8杀毒软件的动态防御驱动filnk.sys在内核对多个系统函数进行了hook,但是对Ring3传...

2012-05-24 11:09:17

阅读数 2131

评论数 2

正式转战CSDN

用了几年的百度空间了,一直很喜欢它的简洁,无广告,正因为这点,所以才会有很多程序员在其上面开博客。 最近百度空间改版了,搞的跟人人小站一样,完全失去了其原有的风格,真心失望。 故转战CSDN,这里才是适合我们程序员的地方。 仅以此文纪念我的百度空间:http://hi.baidu.c...

2012-05-24 11:03:09

阅读数 1303

评论数 0

提示
确定要删除当前文章?
取消 删除