【加密与解密(第四版)】第七章笔记

最新推荐文章于 2024-06-19 09:07:40 发布
最新推荐文章于 2024-06-19 09:07:40 发布
阅读量1k 收藏 9
点赞数 22
分类专栏: 【加密与解密(第四版)笔记】 文章标签: 笔记 安全 反汇编 系统安全 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_58213960/article/details/139113462
版权

第七章 Windows内核基础

7.1 内核理论基础

windows的启动过程

  1. 启动自检阶段(BIOS命令、检查硬件)
  2. 初始化启动阶段(加载启动盘,将主引导记录载入内存)
  3. Boot加载(设置内存模式)
  4. 检测和配置硬件阶段
  5. 内核加载(首先加载Ntoskrml.exe和HAL)
  6. 启动会话管理器(smss.exe,是windows系统中创建的第一个用户模式进程)

传统方式:BIOS+MBR

新的方式:UEFI+GPT

R0与R3通信

当应用程序调用一个有关 I/0的 API(例如 WriteFile)时,实际上这个API被封装在应用层的某个 DLL库(例如kemel32.d 和 user32.dl)文件中。而 dll动态库中的函数的更底层的函数包含在 ntdll.dll 文件中,也就是会调用在 ntdll.dll 中的 Native API函数。ntdll.dll中的Natvie API函数是成对出现的,分别以“Nt”和“Zw”开头(例如ZwCreateFile、NtCreateFile )。在 ntdll.dll 中,它们本质上是一样的,只是名字不同。

当 kernel32.dll 中的 API通过 ntdll.dll 执行时,会完成参数的检查工作,再调用一个中断(int2Eh或者SysEnter指令),从R3层进入R0层。在内核ntoskrnl.exe中有一个SSDT,里面存放了与 ntdll.dll中对应的 SSDT系统服务处理函数,即内核态的 Nt*系列函数,它们与ntdll.dll 中的函数一一对应。

在调用用户模式 Nt* API时,不会改变 Previous Mode 的状态;在调用 Zw*API时,会将 Previous Mode 改为内核态。因此,在进行Kernel Mode Driver 开发时,使用 Zw* 系列 API可以避免额外的参数列表检查,从而提高效率,也就是当通过int 2EH(WindowsXP以前)或者SYSENTER(WindowsXP及以后版本;在 AMD中为syscall)的 KiFastCallEntry()例程时,将要调用的函数所对应的服务号(也就是在 SSDT数组中的索引值)存放到寄存器EAX中,再根据存放在EAX中的索引值在SSDT数组中调用指定的服务(Nt*系列函数)。

在这个过程中,应用层的命令和数据会被系统的 I0管理器封装在一个叫作 IRP的结构中。之后,IRP会将 R3发下来的数据和命令逐层发送给下层的驱动创建的设备对象进行处理,完成对应的功能。

内核主要由各种驱动组成,驱动加载后,会生成相应的设备对象,并可以选择向R3提供一个可供访问和打开的符号链接。

内核函数

7.2 内核重要数据结构

应用层的进程、线程、文件、驱动模块、事件、信号量等对象或者打开的句柄在内核中都有与之对应的内核对象。

分类:Dispatcher对象(KPROCESS、KTHREAD)、I/O对象、其他对象(EPROCESS、ETHREAD)。

EPROCESS用于在内核中管理进程的各种信息,每个进程都对应于一个EPROCESS结构,用于记录进程执行期间的各种数据。所有进程的 EPROCESS 内核结构都被放入一个双向链表,R3在枚举系统进程的时候,通过遍历这个链表获得了进程的列表。因此,有的 Rootkit 会试图将自己进程的 EPROCESS 结构从这个链表中摘掉,从而达到隐藏自己的目的。

ETHREAD结构中,第1个成员就是线程对象KTHREAD成员,所有的ETHREAD结构也被放在一个双向链表里进行管理。EPROCESS 和 ETHREAD结构都是通过双向循环链表组织管理的。一个EPROCESS结构中包含了一个KPROCESS结构,而在一个KPROCESS结构中又有一个指向ETHRAD结构的指针。在ETHREAD结构中,又包含了 KTHREAD 结构成员。

SSDT (系统服务描述符表)用于处理应用层通过 kernel32.dll 下发的各个 API操作请求。ntdll.dll 中的 API是一个简单的包装函数,当 kemel32.dll 中的 API通过 ntdl.dll 时,会先完成对参数的检查,再调用一个中断(int 2Eh或者 SysEnter指令),从而实现从R3层进人R0层,并将要调用的服务号(也就是 SSDT 数组中的索引号 index值)存放到寄存器 EAX中,最后根据存放在EAX中的索引值在 SSDT数组中调用指定的服务(Nt*系列函数 )

TEB(线程环境块)在应用层中,进程中的每个线程(系统线程除外)都有一个自己的TEB。一个进程的所有 TEB 都存放在从0x7FFDE000开始的线性内存中,每4KB为一个完整的TEB。

7.3 内核调试基础

配置WinXP的boot.ini

配置windbg的参数

NovFif
关注
  • 22
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
加密解密(第四)】第一章笔记
m0_58213960的博客
03-01 6570
加密解密(第四)】第一章
加密解密(第四)】第十七章笔记
m0_58213960的博客
05-23 365
巧妙构造代码和数据,在指令流中插入很多“数据垃圾",干扰反汇编软件的判断,使它错误地确定指令的起始位置,这类代码数据称为花指令。反汇编算法:线性扫描(无法正确地将代码和数据分开)、递归进行。17.5 关于软件保护的若干忠告。磁盘文件校验(CRC32校验)内存映像校验(校验代码区)17.3 文件完整性校验。17.4 代码与数据结合。17.1 防范算法求逆。17.2 抵御静态分析。
加密解密》 第四 笔记00
苏箬初的博客
07-14 447
(P.S.学习笔记自己写的,很多内容都从书上记录的,不知道算不算原创。如果不算,欢迎告知...) 第1章 基础知识 逆向工程内容: 软件使用限制的去除或者软件功能的添加 软件源代码的再获得 硬件的复制和模拟 逆向分析技术(一般途径和策略) 通过软件使用说明和操作格式分析软件(设计思想、编程思路等) 静态分析技术:根据反汇编得到的程序清单进行分析(常用方法:从提示信息入手进行分析)->了解各个模块的功能以及编程思路->工具:IDA 动态分析技术:动态跟踪->工具
加密解密》 第四 笔记01
苏箬初的博客
07-14 506
(P.S.学习笔记自己写的,很多内容都从书上记录的,不知道算不算原创。如果不算,欢迎告知...) 第2章 动态分析技术 动态分析->工具:调试器: 用户模式:Ring3级,OD、x64dbg、VC++ 内核模式:WinDbg(能调试操作系统内核) UDD文件:OD的工程文件用于保存但前调试的一些状态 部分代码含义: 虚拟地址:一般情况下,同一程序的同一条指令在不同系统环境下此值相同 机器码:CPU执行的机器代码 汇编指令:与机器码对应的程序代码 领空:某一时刻CPU的
加密解密》个人阅读笔记 四(上)
xy_hzz的博客
02-02 932
这是《加密解密》第四章阅读笔记(上),内容范围只有 32位软件逆向技术
读书笔记-《第四章-认证加密
shg的博客
11-15 72
认证加密算法
软考-高级-信息系统项目管理第四(完整24章全笔记
热门推荐
weixin_44934104的博客
09-08 1万+
包 括:信息系统、业务应用信息系统、信息安全系统、信息系统工程、业务应用信息系统工程和 信息安全系统工程等业务应用信息系统是支撑业务运营的计算机应用信息系统,信息安全系统工程是指为了达到建设好信息安全系统的特殊需要而组织实施的工程。项目经理由执行组织委派, 负责领导团队实现项目目标。①制定项目章程:②制订项目管理计划:③指导与管理项目工作:④管理项目知识:⑤监控项目工作:⑥实施整体变更控制:项目范围管理过程包括:规划范围管理;收集需求;定义范围;创 建WBS;确认范围;控制范围;
操作系统-笔记-第四章-文件管理
Pan_peter的博客
08-22 2102
硬链接和软链接的主要区别:硬链接是指多个文件名指向同一个文件数据块,软链接则是指一个特殊的文件,其中包含了指向另一个文件的路径。硬链接通常用于在不同的目录中创建相同文件的多个副本,以节省存储空间。软链接通常用于创建指向其他文件或目录的快捷方式,以方便用户访问。其实,SCAN和LOOK差不多C-SACN和C-LOOK差不多都只是加了一个边走边看~
计算机网络-笔记-第四章-网络层
Pan_peter的博客
08-28 2262
1万字-个人笔记(网络层-计算机网络的核心)
随心笔记,第六更
leen的博客
06-13 556
今天给大家分享的是使用idea 将xml转为JavaBean,并且取其中的数据和其他的数据进行交互。
Python学习笔记11 -- 细碎内容
m0_71291382的博客
06-12 265
记录一些琐碎点,包括如何注释、变量常量说明、字符串拼接的三种方法及转义字符的简单说明
论文阅读笔记:DepGraph: Towards Any Structural Pruning
HollowKnightz的博客
06-15 1422
论文阅读笔记:DepGraph: Towards Any Structural Pruning
【虚幻5】自学纯蓝图笔记(一)
lklalmq的博客
06-16 654
笔记使用v15.17.1本的IDE ,v5.4.2的引擎有许多小的功能记录在快捷键一节中,节省时间就不单独记录学习本章内容时的机器太差了,i58代的CPU,16g运存,所以GIF截图会非常卡顿指导老师:B站UP主-张亮002。
通信原理第八章复习笔记
香草味冰淇淋
06-17 505
由于16QAM信号的16个信号点在水平轴和垂直轴上投影的电平数均有4个(+3、+1、-1、-3),对应低通滤波器输出的4电平基带信号,因而4电平判决器应有3个判决电平:+2、0、-2。大圆上的四个红点表示第一个QPSK信号适量的位置,在这4个位置上可以叠加第二个QPSK矢量,后者的位置用虚线小圆上的4个小黑点表示;每个码元周期内含有1/4载波周期的整数倍,且两种码元包含的正弦波数相差1/2个周期,功率谱衰减快。在多径衰落信道中,信号振幅和相位取值越多,收到的影响越大,因而星型比方型更具有吸引力;
GRIT论文阅读笔记
read, note and comment papers
06-18 153
一篇试图统一生成任务和编码任务的工作,就是把只能完成生成任务的GPT改成既能生成又能encode。 思路其实很简单,就是在输入的时候添加instruction tokens来指引模型做representation还是generation,然后各自算损失。representation任务用的是document和query的对比学习。把最后一层的token给mean pooling(只对word tokens做,不对instruction做)出一个embedding算对比损失,做generation的时候就
程序固化——FPGA学习笔记6
m0_69082048的博客
06-12 522
BIN:一般是由Vivado软件编译产生的,存储在特定目录下的二进制文件MCS:一般通过VivadoGUl界面操作或者TCL命令生成,MCS文件里包含了BIN文件的内容,除此之外,每行的开始有地址信息,最后一个Byte是CRC校验信息。
Java开发笔记Ⅲ (一些零碎记录)
最新发布
Gettler的博客
06-19 813
学习RabbitMQ的时候要跑官网的例子,又不想写好几个项目跑,就直接在SpringBoot的项目里加了测试类,由于每个例子的配置又不太一样,就学习了下怎么指定配置文件运行单元测试。其实挺简单的,点击确定时候调用接口把该班级之前存储的学生删除,再把当前选中的学生存起来就行。但是因为用的是软删除,每次调整学生班级的时候,数据表里会多出好多没用的数据。数据库规范要求,业务上唯一的字段必须在数据库中建立约束,但是又想记录被删除的数据,做软删除,这就导致了删除了的数据会与未删除的数据发生冲突。
JAVA学习笔记DAY6——SSM_Spring
weixin_47227105的博客
06-13 544
Spring Ioc容器是复杂容器。一个项目project拆分成多个模块module。配置方式包括三种:xml、注解、配置类。从文件结构的角度看,框架=jar包+是SSM的一种简化,快速创建服务。用来维护不同服务的相互调用。控制层组件 Servlet。业务逻辑层 Service。持久化层组件 Dao。
加密解密c语言编写
05-30
加密解密是广泛应用于信息安全领域的技术,C语言也提供了许多加密解密的函数库,下面是一个简单的加密解密的示例代码: ```c #include <stdio.h> #include <stdlib.h> #include <string.h> // 加密函数 void encrypt(char *str, int key) { int len = strlen(str); for (int i = 0; i < len; i++) { str[i] = str[i] + key; // 对每个字符进行加密 } printf("加密后的字符串为:%s\n", str); } // 解密函数 void decrypt(char *str, int key) { int len = strlen(str); for (int i = 0; i < len; i++) { str[i] = str[i] - key; // 对每个字符进行解密 } printf("解密后的字符串为:%s\n", str); } int main() { char str[100]; int key; printf("请输入要加密的字符串:"); scanf("%s", str); printf("请输入密钥:"); scanf("%d", &key); encrypt(str, key); // 加密 decrypt(str, key); // 解密 return 0; } ``` 在这个示例代码中,加密函数和解密函数都是通过对每个字符进行加密解密实现的。加密时,每个字符都会加上密钥;解密时,每个字符都会减去密钥。这个示例代码只是一个简单的加密解密示例,实际应用中需要使用更加复杂和安全的加密解密算法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

NovFif

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值