内核安全
关注
分享
扫一扫
文章平均质量分 84
Nightsay
the quieter you become,the more you are able to hear
展开
-
关于LDR的疑问与探索
之前学习断链的时候了解到了LDR,最近考试周刚过比较闲,就整理了一下当时学习过程中的笔记,很基础的文章。在windows中,每一个模块(exe,dll)对应了一个LDR_MODULE,这个模块是让系统认识到每个模块的存在,在获取模块基址,获取api地址用的很多,进而可以用来隐藏模块,编写外壳程序等……关于结构LDR_MODULE的定义:typedef struct _LDR_MODULE {原创 2015-05-29 17:37:14 · 2097 阅读 · 0 评论 -
windows分层过滤驱动再理解
最近在看rootkits相关的资料,无意间又翻到了驱动过滤类的知识。分层驱动程序不仅可以截获数据,也可以在传递数据之前对其进行修改。IRP和堆栈位置学习windows下的驱动,IRP一定是重中之重,他其实就相当于windows应用层下的消息,传递着各个操作的命令。先来看看IRP的结构: 结合上面的结构图,定义如下:typedef struct _IRP { PMDL MdlAddress原创 2015-11-15 14:58:04 · 2832 阅读 · 0 评论