_KUSER_SHARED_DATA 结构查看

最新推荐文章于 2021-05-31 03:57:47 发布
最新推荐文章于 2021-05-31 03:57:47 发布
阅读量2.3k 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huanongying131/article/details/98850221
版权

windbg双机调试:

kd> !dml_proc                                                           //1                        
Address  PID  Image file name
863df8a8 4    System         
87863448 108  smss.exe       
87ec5030 15c  csrss.exe      
881d4d40 190  wininit.exe    
881d34c0 198  csrss.exe      
88251c48 1c0  winlogon.exe   
8827cd40 204  services.exe   
88275770 20c  lsass.exe      
88273878 214  lsm.exe        
883132c0 288  svchost.exe    
88325030 2c4  vmacthlp.exe   
8832b818 2e4  svchost.exe    
88311648 360  svchost.exe    
883d9af8 394  svchost.exe    
883cf298 3b0  svchost.exe    
88398878 3fc  audiodg.exe    
88415b48 444  svchost.exe    
88453608 4bc  svchost.exe    
88484448 51c  spoolsv.exe    
8849ed40 540  svchost.exe    
878aaa10 5bc  taskhost.exe   
888dbd40 65c  Everything.exe 
88906728 694  svchost.exe    
88955478 6e8  VGAuthService. 
88944270 714  vmtoolsd.exe   
889c1498 164  sppsvc.exe     
889bd830 210  svchost.exe    
877ca1f8 818  dllhost.exe    
88361d40 844  WmiPrvSE.exe   
884014a0 85c  dllhost.exe    
88a9b720 8ec  msdtc.exe      
88b00030 970  VSSVC.exe      
888aa030 9e0  userinit.exe   
876734a8 9e8  dwm.exe        
88588448 9f4  explorer.exe   
88b8e810 a4c  vmtoolsd.exe   
88bb4720 a54  Everything.exe 
88b16a60 b40  rundll32.exe   
8774c8f0 d0c  WmiPrvSE.exe   
876be580 d98  SearchIndexer. 
969e2c48 df8  SearchProtocol 
969e7468 e0c  SearchFilterHo 
882cecb0 e90  WmiApSrv.exe   
882c0b20 ec4  calc.exe 

kd> .process /r /p 882c0b20                                            //2
Implicit process is now 882c0b20
.cache forcedecodeuser done
Loading User Symbols
................................
kd> .reload                                                                       //3
Connected to Windows 7 7601 x86 compatible target at (Thu Aug  8 10:37:20.383 2019 (UTC + 8:00)), ptr64 FALSE
Loading Kernel Symbols
..........................................

Press ctrl-c (cdb, kd, ntsd) or ctrl-break (windbg) to abort symbol loads that take too long.
Run !sym noisy before .reload to track down problems loading symbols.

.....................
................................................................
......................
Loading User Symbols
................................
Loading unloaded module list
......
kd> dt _KUSER_SHARED_DATA 7ffe0000
ntdll!_KUSER_SHARED_DATA
   +0x000 TickCountLowDeprecated : 0
   +0x004 TickCountMultiplier : 0xf99a027
   +0x008 InterruptTime    : _KSYSTEM_TIME
   +0x014 SystemTime       : _KSYSTEM_TIME
   +0x020 TimeZoneBias     : _KSYSTEM_TIME
   +0x02c ImageNumberLow   : 0x14c
   +0x02e ImageNumberHigh  : 0x14c
   +0x030 NtSystemRoot     : [260]  "C:\Windows"
   +0x238 MaxStackTraceDepth : 0
   +0x23c CryptoExponent   : 0
   +0x240 TimeZoneId       : 0
   +0x244 LargePageMinimum : 0x200000
   +0x248 Reserved2        : [7] 0
   +0x264 NtProductType    : 1 ( NtProductWinNt )
   +0x268 ProductTypeIsValid : 0x1 ''
   +0x26c NtMajorVersion   : 6
   +0x270 NtMinorVersion   : 1
   +0x274 ProcessorFeatures : [64]  ""
   +0x2b4 Reserved1        : 0x7ffeffff
   +0x2b8 Reserved3        : 0x80000000
   +0x2bc TimeSlip         : 0
   +0x2c0 AlternativeArchitecture : 0 ( StandardDesign )
   +0x2c4 AltArchitecturePad : [1] 0
   +0x2c8 SystemExpirationDate : _LARGE_INTEGER 0x0
   +0x2d0 SuiteMask        : 0x110
   +0x2d4 KdDebuggerEnabled : 0x3 ''
   +0x2d5 NXSupportPolicy  : 0x2 ''
   +0x2d8 ActiveConsoleId  : 1
   +0x2dc DismountCount    : 0
   +0x2e0 ComPlusPackage   : 0xffffffff
   +0x2e4 LastSystemRITEventTickCount : 0xf2d6
   +0x2e8 NumberOfPhysicalPages : 0x3ff7e
   +0x2ec SafeBootMode     : 0 ''
   +0x2ed TscQpcData       : 0 ''
   +0x2ed TscQpcEnabled    : 0y0
   +0x2ed TscQpcSpareFlag  : 0y0
   +0x2ed TscQpcShift      : 0y000000 (0)
   +0x2ee TscQpcPad        : [2]  ""
   +0x2f0 SharedDataFlags  : 0xe
   +0x2f0 DbgErrorPortPresent : 0y0
   +0x2f0 DbgElevationEnabled : 0y1
   +0x2f0 DbgVirtEnabled   : 0y1
   +0x2f0 DbgInstallerDetectEnabled : 0y1
   +0x2f0 DbgSystemDllRelocated : 0y0
   +0x2f0 DbgDynProcessorEnabled : 0y0
   +0x2f0 DbgSEHValidationEnabled : 0y0
   +0x2f0 SpareBits        : 0y0000000000000000000000000 (0)
   +0x2f4 DataFlagsPad     : [1] 0
   +0x2f8 TestRetInstruction : 0xc3
   +0x300 SystemCall       : 0x76ea70b0
   +0x304 SystemCallReturn : 0x76ea70b4
   +0x308 SystemCallPad    : [3] 0
   +0x320 TickCount        : _KSYSTEM_TIME
   +0x320 TickCountQuad    : 0x1161
   +0x320 ReservedTickCountOverlay : [3] 0x1161
   +0x32c TickCountPad     : [1] 0
   +0x330 Cookie           : 0x36b37a7e
   +0x334 CookiePad        : [1] 0
   +0x338 ConsoleSessionForegroundProcessId : 0n3780
   +0x340 Wow64SharedInformation : [16] 0
   +0x380 UserModeGlobalLogger : [16] 0
   +0x3a0 ImageFileExecutionOptions : 0
   +0x3a4 LangGenerationCount : 1
   +0x3a8 Reserved5        : 0
   +0x3b0 InterruptTimeBias : 0
   +0x3b8 TscQpcBias       : 0
   +0x3c0 ActiveProcessorCount : 1
   +0x3c4 ActiveGroupCount : 1
   +0x3c6 Reserved4        : 0
   +0x3c8 AitSamplingValue : 0
   +0x3cc AppCompatFlag    : 1
   +0x3d0 SystemDllNativeRelocation : 0xfefa0000
   +0x3d8 SystemDllWowRelocation : 0
   +0x3dc XStatePad        : [1] 0
   +0x3e0 XState           : _XSTATE_CONFIGURATION
 

huanongying131
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2.API的调用过程(3环进0环)
My classmates
10-16 1558
_KUSER_SHARED_DATA /*这是一个结构体,翻译过来就是: Kernel与User分享的一块数据。 0环与3环共享的一块内存 */ 在User层和Kernel层分别定义了一个KUSER SHARED DATA结构区域,用于User层和Kernel层共享某些数据 它们使用固定的地址值映射,_KUSER_SHARED_DATA结构区域在User和 Kernel层地址分别为: User...
极好用的SHARED DATA 和 Pointer
04-06
用于重复类数据生成消费处理,一次性生成数据对象,多外使用,回收后内存又可以反复使用。 隆重推荐:TSharedPointer, TExplicitlySharedDataPointer 另有TSharedDataPointer也不错。
[源码和文档分享]内核KUSER_SHARED_DATA共享区域的验证
qq_38474647的博客
12-30 223
背景 无论是在 32 位系统内存分布,还是在 64 位系统内存分布中,我们知道高地址空间分配给系统内核使用,低地址空间分配给用户进程使用。 事实上,用户空间和内核空间其实有一块共享区域,大小为 4 KB。它们的内存地址虽然不一样,但是它们都是有同一块物理内存映射出来的。现在,本文就是要实现一个这样的程序,去验证这块共享区域的存在。 ...
_KUSER_SHARED_DATA
qq_41490873的博客
07-14 444
kd> dt _KUSER_SHARED_DATA +0x000 TickCountLow : Uint4B +0x004 TickCountMultiplier : Uint4B +0x008 InterruptTime : _KSYSTEM_TIME +0x014 SystemTime : _KSYSTEM_TIME +0x020 TimeZoneBias : _KSYSTEM_TIME +0x02c ImageNumberLow : Uint2B +0x02
替换SharedUserData
04-26 2743
作 者: xIkUg时 间: 2007-01-18,14:01链 接: http://bbs.pediy.com/showthread.php?threadid=38180版本:1.0作者: xIkUg/RCT/CCG          xikug.xp [at] gmail [dot] com我常去的网站:http://debugman.wintoolspro.comhttp://www.fcg
Android简单数据存储类SharedPreferences详解及实例
云上
11-06 962
SharedPreferences是Android中存储简单数据的一个工具类。可以想象它是一个小小的cookie,它通过用键值对的方式把简单数据类型(boolean、int、float、long和String)存储在应用程序的私有目录下(data/data/包名 /shared_prefs/)自己定义的xml文件中。  一、简介  它提供一种轻量级的数据存储方式,通过eidt()方法来修改里面的内容,通过Commit()方法来提交修改后的内容。  二、重要方法  public abstract boolea
精选_内核KUSER_SHARED_DATA共享区域的验证_源码打包
03-09
首先,KUSER_SHARED_DATA是一个全局的数据结构,存在于每个处理器的缓存中。这个结构体位于物理内存的特定地址,所有处理器都可以快速访问,无需通过系统总线。它包含了一系列关键的系统状态信息,如时间戳、系统...
ARM Linux中断向量表搬移设计过程-read1
08-08
3. 复制`__kuser_helper_start`到`__kuser_helper_end`之间的代码到`vectors + 0x1000 - kuser_sz`的地址。 `__vectors_start`、`__vectors_end`、`__stubs_start`和`__stubs_end`等符号是在汇编代码中定义的,它们...
x64加载驱动方法,x64驱动各类型hook教程
01-16
在64位驱动开发中,开发者需要理解KUSER_SHARED_DATA结构,它是内核与用户模式共享数据的接口。此外,还要掌握IRP(I/O请求包)处理、设备对象管理、上下文切换等核心概念。对于Hook技术,理解函数指针替换、VAD树...
KiFastCallEntry() 机制分析
无本之木
05-28 1161
本文转自:http://www.mouseos.com/windows/kernel/KiFastCallEntry.html 1. 概述 从 windows xp 和 windows 2003 开始使用了快速切入内核的方式提供系统服务例程的调用。 KiFastCallEntry() 的实现是直接使用汇编语言,C 语言不能直接表达某些操作。我从 windows 2003
【2021.04.26】API函数的调用过程(Ring3进Ring0):上
oalken的博客
04-26 571
内容回顾 kernel32.dll(ReadProcessMemory)->ntdll.dll(NtReadVirtualMemory) mov eax, 0BA //提供一个内核函数编号 mov edx, 7FFE0300 //然后提供一个函数的地址,这个函数地址存储在7FFE0300这个位置。 本文将重点介绍该函数到底是什么,要了解该函数到底是什么还需要弄清楚7FFE0000这块内存有什么特殊含义。 _KUSER_SHARED_DATA 在user层和kernel层分别定义了一个.
Windows系统调用学习笔记(二)—— 3环进0环
qq_41988448的博客
10-30 2625
Windows系统调用学习笔记(二)—— 3环进0环前言要点回顾基本概念_KUSER_SHARED_DATA0x7FFE0300实验:判断CPU是否支持快速调用第一步:修改EAX=1第二步:将当前汇编指令修改为cpuid第三步:清空ECX与EDX第四步:执行cpuid,观察结果第五步:观察EDX的SEP位(第11位)3环进0环基本步骤中断门进0环分析 KiIntSystemCall分析 INT 0...
KiFastCallEntry自己理解
whowho的专栏
07-19 860
#define KI_USER_SHARED_DATA         0xffdf0000 #define SharedUserData  ((KUSER_SHARED_DATA * const) KI_USER_SHARED_DATA)   KUSER_SHARED_DATA 结构区域在 User 和 Kernel 层地址分别为: User 层地址为:0x7ffe0000
某游戏的反调试
被遗弃的庸才博客
06-25 2867
最近比较无聊,有朋友就喊我去玩玩打枪的小游戏,然后由于我怕麻烦所以把游戏安装到虚拟机中了,然后我虚拟机开了双机调试器,其实是由于我比较懒不想关双机调试,导致游戏弹出窗口要求我关闭调试器。 小样,你叫我关就关岂不是很没有面子,然后我做了下面的事情。 首先看是不是检测了SharedUserData->KdDebuggerEnabled 这里手动在windbg修改KUSER_SHARED_DATA 的KdDebuggerEnabled,如下图 修改的命令是eb0xFFFFF780`000000.
windows 内核情景分析
bcbobo21cn的专栏
04-27 1486
原文很长;先转部分过来,有时间看一下; 一 windows 内核情景分析---说明 说明 本文结合《Windows内核情景分析》(毛德操著)、《软件调试》(张银奎著)、《Windows核心编程》 、《寒江独钓-Windows内核安全编程》、《Windows PE权威指南》、《C++反汇编与逆向分析揭秘》以及 ReactOS操作系统 (V0.3.12)源码,以《Windows内核情景分析》为蓝本,对Windows内核重要框架、函数 、结构体进行解析 由于工程庞大,我能理解到的只是冰山一角,但本文.
Xenomai安装
369540808
11-19 873
目录 1 简介 2 安装步骤 2.1 准备目标内核 2.2 配置和建立目标内核 2.3 建立用户空间的支持 2.3.1 特征冲突解决 2.3.2 通用配置项 2.3.3 特定体系结构的配置项 2.3.4 交叉编译 3 典型的安装过程 3.1 x86_32/64 为下构建 3.2 PowerPC 体系结...
html5游戏变速,深入游戏变速底层原理以及内核变速的实现
weixin_30955739的博客
05-31 1215
深入 0x7FFE0000 SharedUserData我们百度0x7FFE0000这个地址,得到了一个叫做 SharedUserData 的东东,是个内核的映射,Ring3下是只读的,所以如上,我们并改不了他的数据(确切的说改了,数据就不会同步,会导致大量的API无法工作)。这个结构在应用层和内核的地址如下表内核起始地址内核结束地址用户起始地址用户结束地址32 系统0xFFDF00000xFFD...
python中安装kuser-agent包
最新发布
04-02
kuser-agent是一个Python库,用于生成随机的用户代理字符串。您可以使用以下命令在Python中安装它: ``` pip install kuser-agent ``` 如果您的系统中同时安装了Python 2和Python 3,请使用以下命令安装: ``` pip3 install kuser-agent ``` 安装完成后,您可以使用以下代码示例生成随机的用户代理字符串: ```python import kuser_agent user_agent = kuser_agent.generate_user_agent() print(user_agent) ``` 此代码将生成一个随机的用户代理字符串,并将其打印到终端。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值