x86内核
文章平均质量分 89
用于记录学习x86系统内核机制笔记的专栏
lzyddf
这个人很懒,什么也没有留下
展开
-
Windows进程与线程学习笔记(二)—— 线程结构体
Windows进程与线程学习笔记(二)—— 线程结构体前言线程结构体ETHREAD+0x000 Tcb : _KTHREAD练习前言一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com二、海东老师牛逼!线程结构体ETHREAD描述:每个windows线程在0环都有一个对应的结构体:ETHREAD这个结构体包含了线程所有重要的...原创 2019-11-12 14:29:28 · 1166 阅读 · 0 评论 -
Windows进程与线程学习笔记(一)—— 进程结构体
Windows进程与线程学习笔记(一)—— 进程结构体&线程结构体前言进程结构体前言一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com二、海东老师牛逼!进程结构体...原创 2019-11-12 14:28:48 · 1808 阅读 · 4 评论 -
Windows系统调用学习笔记(四)—— 系统服务表&SSDT
Windows系统调用学习笔记(四)—— 系统服务表前言要点回顾系统服务表实验:分析 KiSystemService 与 KiFastCallEntry 共同代码前言一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com二、海东老师牛逼!要点回顾API进入0环后调用的函数:中断门 – KiSystemService快速调用 – KiFastCallEnt...原创 2019-11-11 09:22:35 · 2828 阅读 · 10 评论 -
Windows系统调用学习笔记(三)—— 保存现场
Windows系统调用学习笔记(三)—— 保存现场前言要点回顾API进入0环后调用的函数:基本概念Trap Frame结构线程相关的结构体ETHREADKTHREADCPU相关的结构体KPCR_NT_TIBKPRCB前言一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com二、海东老师牛逼!要点回顾API进入0环后调用的函数:中断门 – KiSystemSe...原创 2019-11-09 18:56:26 · 2191 阅读 · 2 评论 -
Windows系统调用学习笔记(二)—— 3环进0环
Windows系统调用学习笔记(二)—— 3环进0环前言要点回顾基本概念_KUSER_SHARED_DATA0x7FFE0300实验:判断CPU是否支持快速调用第一步:修改EAX=1第二步:将当前汇编指令修改为cpuid第三步:清空ECX与EDX第四步:执行cpuid,观察结果第五步:观察EDX的SEP位(第11位)3环进0环基本步骤中断门进0环分析 KiIntSystemCall分析 INT 0...原创 2019-10-30 21:03:03 · 2634 阅读 · 5 评论 -
Windows系统调用学习笔记(一)—— API函数调用过程
Windows系统调用学习笔记(一)—— API函数的调用过程前言Windows API实验:分析ReadProcessMemory第一步:定位函数第二步:开始分析前言一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com二、海东老师牛逼!Windows API描述:Application Programming Interface,简称 API 函数。...原创 2019-10-29 14:12:25 · 6613 阅读 · 6 评论 -
Windows保护模式学习笔记(十四)—— 阶段测试
Windows保护模式学习笔记(十四)—— 阶段测试前言题目一解题步骤题目二解题步骤前言一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com二、海东老师牛逼!题目一描述:给定一个线性地址,和长度,读取内容int ReadMemory(OUT BYTE* buffer,IN DWORD dwAddr,IN DWORD dwLength);要求:可以自己...原创 2019-10-29 09:21:11 · 878 阅读 · 1 评论 -
Windows保护模式学习笔记(十三)—— PWT&PCD
Windows保护模式学习笔记(十三)—— PWT&PCD前言要点回顾CPU缓存CPU缓存与TLB的区别PWT(Page Write Through)PCD(Page Cache Disable)前言一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com二、海东老师牛逼!要点回顾在学习PDE与PTE的属性时,对两个位做了保留,没有说明作用,就是今天要学...原创 2019-10-27 09:56:02 · 735 阅读 · 2 评论 -
Windows保护模式学习笔记(十二)—— 控制寄存器
Windows保护模式学习笔记(十二)—— 控制寄存器前言控制寄存器Cr0寄存器Cr2寄存器Cr4寄存器前言一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com二、海东老师牛逼!控制寄存器描述:控制寄存器有五个,分别是:Cr0 Cr1 Cr2 Cr3 Cr4Cr1:保留Cr3:页目录表基址Cr0寄存器结构图:PE位:启用保护(Protecc...原创 2019-10-27 09:29:35 · 1024 阅读 · 2 评论 -
Windows保护模式学习笔记(十一)—— 中断与异常
Windows保护模式学习笔记(十一)—— 中断与异常前言中断非可屏蔽中断可屏蔽中断时钟中断可屏蔽中断的处理异常异常处理缺页异常前言一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com二、海东老师牛逼!中断描述:中断通常是由CPU外部的输入输出设备(硬件)所触发的,供外部设备通知CPU“有事情需要处理”,因此又叫中断请求(Interrupt Reques...原创 2019-10-26 21:51:36 · 1015 阅读 · 2 评论 -
Windows保护模式学习笔记(十)—— TLB
Windows保护模式学习笔记(十)—— TLB前言地址解析10-10-12分页2-9-9-12分页TLBTLB结构TLB种类实验:体验TLB的存在第一步:运行以下代码第二步:设置中断门描述符第三步:继续运行程序前言一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com二、海东老师牛逼!地址解析当我们通过一个线性地址访问一个物理页(比如:MOV EAX,[0x...原创 2019-10-25 15:34:11 · 1428 阅读 · 6 评论 -
Windows保护模式学习笔记(九)—— 2-9-9-12分页
Windows保护模式学习笔记(九)—— 2-9-9-12分页前言要点回顾10-10-12分页原理环境配置2-9-9-12分页原理环境配置前言一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com二、海东老师牛逼!要点回顾在之前的笔记中我们已经讲解了10-10-12分页方式,在这种分页方式下物理地址最多可达4GB。但随着硬件的发展,4GB的物理地址范围已经无法...原创 2019-10-24 10:04:10 · 1785 阅读 · 6 评论 -
Windows保护模式学习笔记(八)—— 页目录表基址/页表基址
Windows保护模式学习笔记(八)—— 页目录表基址&页表基址前言要点回顾一、页目录表基址实验:拆分线性地址C0300000,并查看其对应的物理页第一步:打开一个进程,获得它的Cr3第二步:查看进程的PDT表第三步:拆分线性地址第四步:查看线性地址对应的物理页总结二、页表基址实验:拆分拆分线性地址C0000000,并查看其对应的物理页第一步:打开一个进程,获得它的Cr3第二步:查看进程的...原创 2019-10-20 21:45:16 · 2427 阅读 · 10 评论 -
Windows保护模式学习笔记(七)—— PDE&PTE
Windows保护模式学习笔记(七)—— PDE&PTE前言前言一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com二、海东老师牛逼!原创 2019-10-18 20:44:34 · 2984 阅读 · 5 评论 -
Windows保护模式学习笔记(六)—— 10-10-12分页
Windows保护模式学习笔记(六)—— 10-10-12分页前言基本概念4GB内存空间有效地址-线性地址-物理地址有效地址与线性地址物理地址控制寄存器:Cr310-10-12分页实验:通过线性地址找到物理地址第一步:将XP虚拟机设置为10-10-12分页模式第二步:新建一个记事本,写入"Hello World"第三步:使用Cheat Engine附加进程第四步:找到"Hello World"的线...原创 2019-10-18 15:49:06 · 1354 阅读 · 8 评论 -
Windows保护模式学习笔记(五)—— 任务段&任务门
Windows保护模式学习笔记(五)—— TSS/TR段寄存器/TSS段描述符前言要点回顾TSSTR段寄存器TR段寄存器的读写TSS段描述符实验:加载自定义TSS前言一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com二、海东老师牛逼!要点回顾在调用门、中断门与陷阱门中,一旦出现权限切换,那么就会有堆栈的切换;而且,由于CS的CPL发生改变,也导致了SS也...原创 2019-10-18 09:10:16 · 1930 阅读 · 3 评论 -
Windows保护模式学习笔记(四)—— 中断门&陷阱门
Windows保护模式学习笔记(四)—— 中断门/陷阱门前言要点回顾中断描述符表(IDT)一、中断门实验:构造一个中断门第一步:初步构造参数第二步:确定 Offset in Segment第三步:将门描述符写入IDT表第四步:继续执行第二步的代码二、陷阱门实验:构造一个陷阱门第一步:初步构造参数第二步~第四步:参考中断门陷阱门与中断门的区别:前言一、学习自滴水编程达人中级班课程,官网:htt...原创 2019-10-17 14:46:51 · 1546 阅读 · 1 评论 -
Windows保护模式学习笔记(三)—— 长调用/短调用/调用门
Windows保护模式学习笔记(三)—— 长调用与短调用前言要点回顾一、短调用二、长调用(跨段不提权)前言一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com二、海东老师牛逼!要点回顾通过JMP FAR可以实现段间的跳转,如果要实现跨段的调用就必须要学习CALL FAR,也就是长调用CALL FAR 比JMP FAR要复杂,JMP并不影响堆栈,但CALL指...原创 2019-10-17 09:37:32 · 3254 阅读 · 3 评论 -
Windows保护模式学习笔记(二)—— 代码跨段跳转
Windows保护模式学习笔记(二)要点回顾要点回顾原创 2019-10-16 19:17:08 · 1337 阅读 · 6 评论 -
Windows保护模式学习笔记(一)—— 段寄存器&GDT表
保护模式学习笔记(一)前言保护模式参考书籍:段寄存器段寄存器的结构段寄存器的读写段寄存器的属性探测Attribute:探测Base:探测Limit:GDT表与LDT表GDT表段描述符段描述符的属性```P位``````G位``````S位``````Type域``````DPL```段描述符与段寄存器结构的对应关系段选择子加载段描述符到段寄存器前言海东老师牛逼!保护模式X86 CPU的...原创 2019-10-16 09:51:16 · 3961 阅读 · 8 评论