内核
richard1230
这个作者很懒,什么都没留下…
展开
-
内存分页以及控制寄存器相关的学习
地址转换总述虚拟地址转换物理地址(关闭PAE)PAE模式控制寄存器Cr0寄存器,页保护Cr2寄存器Cr4寄存器MSR寄存器(特殊模块寄存器)地址转换总述根据KProcess中的Cr3中保存的页目录基址,可以找到页目录起始地址,再根据页目录索引找到PDE(Page Directory Entry)中的PFN(Page Frame Numb...原创 2018-03-29 21:31:29 · 1368 阅读 · 0 评论 -
系统调用过程
1.sysenter指令EFLAGS主要包含:2.分析CreateFile三环到0环的调用过程老方法; 各种门 自陷门 int 0x2E 新方法:1.sysenter指令a. sysenter 被执行之后 将控制权传递给特殊模块寄存器 b.跟systenter 配合的MSRs寄存器有3个 名称 偏移 说明 SYS...原创 2018-03-29 21:55:34 · 978 阅读 · 0 评论 -
SSDT_HOOK的学习
SSDT:system service descriptor table 系统服务描述符表1.什么是SSDT2.怎么找SSDTa.以OpenProcess为例:b.首先要知道,这个调用号本身的结构3.代码前言: 使用vs自带的开发人员工具,可以使用dumpbin命令,查看pe文件的导入表等信息 : 命令的意思: 使用dumpbin把 ntoskr...原创 2018-03-29 14:39:18 · 475 阅读 · 0 评论