操作系统
文章平均质量分 61
Lawliet_233
这个作者很懒,什么都没留下…
展开
-
设置WINDBG本机内核调试
之前使用过WINDBG+虚拟机进行双机内核调试,这次需要直接使用本机内核调试的功能,在设置的时候遇到的一些问题即解决方法来分享一下。下面是借鉴的别人的博客里的步骤** 1. 下载/安装windbg 2. 找到windbg的安装路径,windbg访问符号需要两个文件(SYMSRV.DLL 和 SYMSTORE.EXE)所以添加主path环境变量中它们的路径进去,即:你的windbg安原创 2017-10-14 15:32:41 · 2110 阅读 · 0 评论 -
操作系统 实验2 windbg双机调试+系统调用过程
1.配置windbg双机调试环境,给出关键步骤及最终成功断下的截图。 1).在安装好的win7虚拟机设置中,添加一个串行端口,并选择输出到命名管道,具体设置如图。这样设置之后,在后面的步骤中,主机便能通过这个管道与虚拟机相连进行双机调试。 2)在win7虚拟机中以管理员权限打开命令行并做以下设置3)在本机里创建一个windbg的快捷方式,在目标一栏里加上以下代码 -...原创 2017-11-09 17:19:06 · 2083 阅读 · 0 评论 -
操作系统 实验1 GDT表分析+驱动调试
1.GDT表分析:给定段选择子0x23,分析对应的段描述符中相关属性取值:G/P/TYPE三种,并描述TYPE赋值的语义。 段选择子是什么? 引用GDT和LDT中的段描述符所描述的段,是通过一个16-bit的数据结构来实现的,这个数据结构叫做Segment Selector——段选择子。它的高13位作为被引用的段描述符在GDT/LDT中的下标索引,bit 2用来指定被引用段描述符被放在GDT中...原创 2017-11-09 16:43:13 · 1190 阅读 · 0 评论 -
虚拟地址到物理地址
32位段基址:用段寄存器选择子(16位)加上段描述符得到 32位有效地址EA:通过存储器寻址方式获得,由基地址,变址和偏移量相加得到 32位线性地址:由32位段基址+32位有效地址EA得到 当没有启用分页机制的情况下,线性地址就是物理地址。 当启用分页机制后,每一个32位的线性地址被划分为三部分,面目录索引(10位),页表索引(10位),偏移(12位)。依据以下步骤变换: 1.从cr3中取原创 2017-11-09 20:05:59 · 471 阅读 · 0 评论 -
对Osloader.exe进行分析 查找e_lfanew,IMAGE_EXPORT_DIRECTORYAddressOfFunctions
1.使用winhex打开从NTLDR中提取出的oslader.exe2.查找e_lfanew3.查找IMAGE_EXPORT_DIRECTORY->AddressOfFunctions通过上图我们可以得出,导出表的RVA是 000357B0h ,Size是 000006AFh。我们借助LordPE可以确定在哪个区段表中, 因为导出表的RVA是000357B0h 是大于00031000h 但是小于00原创 2017-11-09 20:22:13 · 1131 阅读 · 0 评论 -
使用IDA静态分析osloader.exe+Ntoskrnl.exe
1.使用IDA静态分析osloader.exe,找到BlOpen()函数的执行语句,简述查找及分析过程。用IDA pro 5.6打开osloader.exeAlt+T,打开文本搜索对话框,在字符串文本框中输入要搜索boot.ini.成功跳转到BIOpen函数ARC_STATUSBlOpen ( IN ULONG DeviceId, I原创 2017-11-09 20:32:22 · 2034 阅读 · 0 评论