![](https://img-blog.csdnimg.cn/20201014180756916.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
内核
richard1230
这个作者很懒,什么都没留下…
展开
-
内存分页以及控制寄存器相关的学习
地址转换总述 虚拟地址转换物理地址(关闭PAE) PAE模式 控制寄存器 Cr0寄存器,页保护 Cr2寄存器 Cr4寄存器 MSR寄存器(特殊模块寄存器) 地址转换总述 根据KProcess中的Cr3中保存的页目录基址,可以找到页目录起始地址,再根据页目录索引找到PDE(Page Directory Entry)中的PFN(Page Frame Numb...原创 2018-03-29 21:31:29 · 1315 阅读 · 0 评论 -
系统调用过程
1.sysenter指令 EFLAGS主要包含: 2.分析CreateFile三环到0环的调用过程 老方法; 各种门 自陷门 int 0x2E 新方法: 1.sysenter指令 a. sysenter 被执行之后 将控制权传递给特殊模块寄存器 b.跟systenter 配合的MSRs寄存器有3个 名称 偏移 说明 SYS...原创 2018-03-29 21:55:34 · 968 阅读 · 0 评论 -
SSDT_HOOK的学习
SSDT:system service descriptor table 系统服务描述符表 1.什么是SSDT 2.怎么找SSDT a.以OpenProcess为例: b.首先要知道,这个调用号本身的结构 3.代码 前言: 使用vs自带的开发人员工具,可以使用dumpbin命令,查看pe文件的导入表等信息 : 命令的意思: 使用dumpbin把 ntoskr...原创 2018-03-29 14:39:18 · 462 阅读 · 0 评论