Windows内核
logens
海阔凭鱼跃,天高任鸟飞
展开
-
windows内核分析
push 0 push ebp push ebx push esi push edi push KGDT_R3_TEB + RPL_MASK mov ebx,PCR[KPCR_SELF] mov esi,[ebx + KPCR_CURRENT_THREAD] push [ebx + KPC_EXCEPTION_LIST] mov dword ptr [ebx + KPCR_EXC原创 2015-06-16 14:37:45 · 536 阅读 · 0 评论 -
茫无头绪的瞎侃
闲来无事,就翻了翻书,看到PC平台上流程的可执行文件格式,感觉有点意思,就准备仔细品读一番 其实主要两大平台下的可执行文件,windows下的PE格式以及Linux下的ELF格式,他们都是COFF格式的变种。 目标文件呢?就是源代码编译后但未进行链接的那些中间文件(类似于Windows下的*.obj以及linux下的*.o) 他跟可执行文件的格式很像,跟亲兄弟一般,呵呵,姑且这么说吧,所以呢原创 2016-06-08 11:02:39 · 368 阅读 · 0 评论 -
茫无头绪的瞎侃(一)
前者稍微解除了一下PE文件格式,这次简要说一下PE的装载,PE文件中,所有段的起始地址都是页的整数倍,段的长度如果不是 页的整数倍,那就会映射时向上补齐到页的整数倍,PE文件中,连接器在生产可执行文件时,往往将所有的段尽可能的合并,所以一般 只有代码段,数据段,只读数据段和BSS等为数不多的几个段。 PE的术语中,有个相对虚拟地址的概念,其实当当与文件中的偏移量。它是相对于PE文件的装载基地原创 2016-06-08 15:39:11 · 1660 阅读 · 0 评论