内核编程
richard1230
这个作者很懒,什么都没留下…
展开
-
SSDT_HOOK的学习
SSDT:system service descriptor table 系统服务描述符表1.什么是SSDT2.怎么找SSDTa.以OpenProcess为例:b.首先要知道,这个调用号本身的结构3.代码前言: 使用vs自带的开发人员工具,可以使用dumpbin命令,查看pe文件的导入表等信息 : 命令的意思: 使用dumpbin把 ntoskr...原创 2018-03-29 14:39:18 · 472 阅读 · 0 评论 -
内存分页以及控制寄存器相关的学习
地址转换总述虚拟地址转换物理地址(关闭PAE)PAE模式控制寄存器Cr0寄存器,页保护Cr2寄存器Cr4寄存器MSR寄存器(特殊模块寄存器)地址转换总述根据KProcess中的Cr3中保存的页目录基址,可以找到页目录起始地址,再根据页目录索引找到PDE(Page Directory Entry)中的PFN(Page Frame Numb...原创 2018-03-29 21:31:29 · 1345 阅读 · 0 评论 -
系统调用过程
1.sysenter指令EFLAGS主要包含:2.分析CreateFile三环到0环的调用过程老方法; 各种门 自陷门 int 0x2E 新方法:1.sysenter指令a. sysenter 被执行之后 将控制权传递给特殊模块寄存器 b.跟systenter 配合的MSRs寄存器有3个 名称 偏移 说明 SYS...原创 2018-03-29 21:55:34 · 974 阅读 · 0 评论 -
双机调试
文章目录前言步骤前言最近可能测试一个软件需要用到Windbg,把之前自己总结的一些再拿出来复习复习;步骤1.拖拽Target至虚拟机中,直接双击里面的exe2.在物理机中打开VirtualKD-3.0文件夹3.双击它即可4.点击路径打开WinDbg5.因为要调试的虚拟机为32位,所以这里打开32位WinDbg即可6.相对而言比较重要的一步:7.设置符号路径;SRVd...原创 2018-11-08 14:26:21 · 1129 阅读 · 0 评论