操作系统
马上飞-
这个作者很懒,什么都没留下…
展开
-
Pspcidtable遍历进程
PspCidTable句柄表 PspCidTable也是一个句柄表,但是这个句柄表不是私有句柄表,它里面存放的是系统中所有的进程和线程对象,其索引也就是进程ID(PID)或线程ID(TID).看到我们的表kd> dd Pspcidtable8055b260 e1001798 00000002 00000000 00000原创 2016-09-14 14:21:21 · 544 阅读 · 0 评论 -
PEB遍历进程加载模块
按照图片的步骤来首先找到EPROCESS以CMD.exe为例子PROCESS 85fa2b38 SessionId: 0 Cid: 0fc8 Peb: 7ffda000 ParentCid: 05f8 DirBase: 0f3c03a0 ObjectTable: e1fa93c8 HandleCount: 34. Image: cmd.ex原创 2016-09-14 17:31:02 · 1662 阅读 · 0 评论 -
远程线程注入
贴一段来自某度的介绍在一个进程中,调用CreateThread或CreateRemoteThreadEx函数,在另一个进程内创建一个线程(因为不在同一个进程中,所以叫做远程线程)。创建的线程一般为Windows API函数LoadLibrary,来加载一个动态链接库(DLL),从而达到在另一个进程中运行自己所希望运行的代码的目的。其实很简单直接上代码有两种注入方式一种是原创 2016-10-05 18:00:32 · 741 阅读 · 1 评论 -
windows内存映射实例
内存要通过逻辑地址->线性地址->物理地址 现在我们看一下实例 以下面这段程序为例子int _tmain(int argc, _TCHAR* argv[]) { int t=1234; printf("%p",&t); system("pause"); return 0; } 我们查看运行结果是什么 可以看到我们的地址是0x0012FF6原创 2016-12-04 19:56:25 · 972 阅读 · 1 评论