Windows操作系统
文章平均质量分 80
深入浅出学习Windows操作系统各个功能模块的原理
大雄_RE
一个热爱逆向,喜爱学习、分享的猿。
展开
-
Windows操作系统——WoW64
简介64位操作系统的底层都是64位的,而在64位的Windows中是可以运行32位的应用程序。为此提供支持的就是所谓的WoW64技术,全称即Windows 32-bit(Applications) on Windows 64-bit(OS)。核心就是,在系统中同时包含32位程序和64位程序的运行环境(依赖的各种dll、注册表里的配置项),32位程序对系统运行环境的引用都被重定向到32位的运行环境。具体包括:system32重定向到SysWOW64 Program Files重定向到Prog原创 2022-03-24 20:43:12 · 3198 阅读 · 0 评论 -
Windows操作系统----事件日志----事件查看器
基础知识打开方式:eventview或命令行工具wevtutil事件查看器是一个 Microsoft 管理控制台 (MMC) 管理单元,可用于浏览和管理事件日志。使用事件查看器可以执行以下任务: 查看来自多个事件日志的事件 将有用的事件筛选器另存为可以重新使用的自定义视图 计划要运行以响应事件的任务 创建和管理事件订阅,通过指定事件订阅,可以从远程计算机收集事件并将其保存在本地。 事件日志事件日志分两个类型:windows日志、应用程序和服务日志。原创 2021-12-09 13:28:47 · 8753 阅读 · 0 评论 -
Windows操作系统----进程与线程----句柄
执行体对象位于系统空间,用户空间通过句柄来引用。句柄是进程范围内的对象引用。句柄实际是一个索引,指向进程句柄表中的一个表项。EPROCESS->ObjectTable第一个是4,第二个是8......句柄表示一个多层次结构。ObjectTable类型为HANDLE_TABLE,句柄结构为HANDLE_TABLE_ENTRY。对于一个句柄,其生命周期从被插入句柄表开始,到被关闭,此过程中,对象的引用计数中包含有句柄的一份引用。此外还有一个CID(Client ID han原创 2021-12-09 13:23:07 · 1614 阅读 · 0 评论 -
Windows操作系统----进程与线程----内核层对象----KTHREAD
typedef struct _KTHREAD{ DISPATCHER_HEADER Header; UINT64 CycleTime; ULONG HighCycleTime; UINT64 QuantumTarget; PVOID InitialStack; PVOID StackLimit; PVOID KernelStack; ULONG ThreadLock; union { ...原创 2021-12-09 13:15:17 · 698 阅读 · 0 评论 -
Windows操作系统----进程与线程----内核层对象----KPROCESS
typedef struct _KPROCESS{ DISPATCHER_HEADER Header; LIST_ENTRY ProfileListHead; ULONG DirectoryTableBase; ULONG Unused0; KGDTENTRY LdtDescriptor; KIDTENTRY Int21Descriptor; WORD IopmOffset; UCHAR Iopl; UCHAR...原创 2021-12-09 13:13:47 · 479 阅读 · 0 评论 -
Windows操作系统----安全机制----SID
trustee(受托人)一个ACE使用的用户账户、组或登录会话。ACE属于ACL,ACE有一个SID来标识一个trustee。当前登录会话的SID是logon SID,用于在注销前准许或拒绝访问权限很方便。TRUSTEE结构见TRUSTEE_A (accctrl.h) - Win32 apps | Microsoft Docs这个结构准许使用名称字符串或SID来标识一个trustee。如果使用名称,通过TRUSTEE创建ACE时,需要通过名称确定对应的SID。BuildTrusteeWi原创 2021-12-09 13:09:54 · 1369 阅读 · 0 评论 -
Windows操作系统----安全机制----对象
对象结构对象是对操作系统中需要保护和集中管理的资源的一种抽象,对象拥有统一的固定头部,保存着抽象出来的信息。此外还有可选头部和对象体。nt!_OBJECT_HEADER +0x000 PointerCount : Int8B +0x008 HandleCount : Int8B +0x008 NextToFree : Ptr64 Void +0x010 Lock : _EX_PUSH_LOCK +0x018 Typ原创 2021-12-09 13:05:04 · 5461 阅读 · 0 评论 -
Windows操作系统----安全机制----Token
简介Token结构体是访问权限检查中的代表主体身份的核心数据结构,Windows 10 x64平台下的结构见最后。我们比较关注其中的特权位图和三个代表主体身份的Sid数组:UserAndGroups,RestrictedSids,Capabilities。进程主令牌和模拟令牌每一个进程有一个主要的令牌,它描述了与当前进程相关的用户帐户的安全上下文。默认情况下,系统用主令牌当一个进程的线程与一个安全对象相互作用时。此外,一个线程可以模拟一个客户端帐户。模拟允许此线程与安全对象交互时用.原创 2021-12-09 12:08:51 · 4927 阅读 · 0 评论 -
Windows操作系统----安全机制----令牌、安全描述符、访问检查
主客体在操作系统中,当我们提到安全的时候,意味着有一些资源需要被保护。主体每个进程都有一个基本令牌 (Primary Token),可以被进程中的每个线程所共享。而有些线程比较特殊,它们正在模拟(Impersonating)某个客户端的身份,因此拥有一个模拟令牌(Impersonation Token),对于这些线程来说,有效令牌是模拟令牌,而其他线程的有效令牌则是其所属进程的基本令牌。当主体尝试去访问客体时,操作系统会执行访问权限检查(Access Check),具体来说,是用主体的有效令牌与原创 2021-12-08 12:02:05 · 3784 阅读 · 0 评论 -
Windows操作系统----安全机制----文件数字签名
原理计算 文件hash并用私钥对hash进行签名,同时能验证作者和完整性。数字签名:将报文按双方约定的HASH算法计算得到一个固定位数的报文摘要。将该报文摘要值用发送者的私人密钥加密,加密后的hash就是签名,然后连同原报文一起发送给接收者。数字证书:数字证书就是互联网通讯中标志通讯各方身份信息的一系列数据,提供了一种在Internet上验证您身份的方式,其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构-----CA机构,又称为证书授权(Certificate原创 2021-12-08 11:17:45 · 2353 阅读 · 0 评论