Windows 专题

http://www.mouseos.com/windows/index.html

Windows 专题

返回主页

第一部分：Windows 机制

一. Windows 杂项分析系列

1. 使用 bochs+vmware+windbg 分析调试 windows 7 内核
2. windows 7 的 MBR 分析
3. 活动分区的引导记录 DBR 分析（windows 7 boot 分区的 DBR）

二. Windows PE 文件分析系列（基于 helloworld.exe 映像）

1. windows PE image 文件分析（1）
2. windows PE image 文件分析（2）--- .text 节
3. windows PE image 文件分析（3）--- .idata 节与 import table
4. windows PE image 文件分析（4）--- 导入函数的绑定
5. windows PE image 文件分析（5）--- .rsrc 节与 resource table
6. windows PE image 文件分析（6）--- .reloc 节与 base relocation table

三. PE 映像运行机理（helloworld.exe）

1. 跳转表
2. 入口
3. 运行时检查

四. SEH 机制探索

1. TEB 结构
2. 构建 SEH 链
3. SEH stack 结构探索（1）--- 从 SEH 链的最底层（线程第1个SEH结构）说起
4. SEH stack 结构探索（2）--- 用户程序构造的 SEH stack 结构
5. SEH stack 结构探索（3）--- __exception_handler4() 探秘1
6. SEH stack 结构探索（4）--- __exception_handler4() 探秘2之 ScopeTable 结构
7. SEH stack 结构探索（5）--- __exception_handler4() 探秘3之 TryLevel
8. __except() 的处理1 --- 计算 Filter 表达式
9. __except() 的处理2 --- 全局展开

五. security cookie 机制探索

1. 开启缓冲区安全检查
2. 初始化 security_cookie

六. Message 机制

1. 消息种类

 

第二部分：64 位的 windows

一. 64 位 windows 编程环境

1. 64 位 windows 编程模型
2. windows 的数据类型
3. UNICODE VS _UNICODE 与 TEXT() VS _T()
4. registers 的使用
5. 64 位编程资源

第三部分 windows 内核探索

1. 常见模块
2. 内核中的 memset() 赏析
3. windows 7 x64 下的 system call

一. CreateProcee() 实现

1. 实验例子
2. 开始
3. 错误码处理
4. 检测 dwCreationFlags 标志
5. 建立调试对象 - NtCreateDebugObject()