逆向
huanongying131
这个作者很懒,什么都没留下…
展开
-
浅析 main 之前代码 (VS2015)
用VS2015 如何追踪 main之前代码尼?#include #include void main(){ printf("%d\n", 1);}在printf处设置断点,反汇编代码,在ret 设置断点,f5, 再f10单步。便能跳到 编译器插入的代码。 printf("%d\n", 1);00CE1070 push 1原创 2017-08-30 13:18:31 · 3705 阅读 · 0 评论 -
Sysmon
转:https://www.anquanke.com/post/id/156704 Sysmon是微软的一款轻量级的系统监控工具,最开始是由Sysinternals开发的,后来Sysinternals被微软收购,现在属于Sysinternals系列工具。它通过系统服务和驱动程序实现记录进程创建、文件访问以及网络信息的记录,并把相关的信息写入并展示在windows的日志事件里。经常有安全人员...转载 2018-09-28 16:14:02 · 3276 阅读 · 0 评论 -
Sysmon
转:https://www.anquanke.com/post/id/159820上文讲解了sysmon的ring3部分实现原理,本文则开始讲解ring0部分。Sysmon的ring0是一个minifilter类型的驱动,内部实现了进程信息、文件访问信息以及注册表访问信息的记录,下面开始具体讲解它的实现流程。驱动DriverEntry的初始化从DriverEntry(PDRIVER_OB...转载 2018-09-28 16:16:05 · 521 阅读 · 0 评论 -
windbg + vmware 内核调试 环境设置
windbg 符号设置: 配置环境变量: _NT_SYMBOL_PATH SRV*c:\mysymbol* http://msdl.microsoft.com/download/symbols ...原创 2019-06-02 17:24:06 · 2792 阅读 · 0 评论