pe启动逻辑记录[TLS_0]

最新推荐文章于 2021-07-20 21:13:57 发布
最新推荐文章于 2021-07-20 21:13:57 发布
阅读量323 收藏 3
点赞数
文章标签: 操作系统 大数据
原文链接:http://www.cnblogs.com/w0nderful/archive/2011/12/06/2278264.html
版权

摘自reactos

  1 /**********************************************************************
  2  * NAME
  3  *      LdrPEStartup
  4  *
  5  * DESCRIPTION
  6  *      1. Relocate, if needed the EXE.
  7  *      2. Fixup any imported symbol.
  8  *      3. Compute the EXE's entry point.
  9  *
 10  * ARGUMENTS
 11  *      ImageBase
 12  *              Address at which the EXE's image
 13  *              is loaded.
 14  *
 15  *      SectionHandle
 16  *              Handle of the section that contains
 17  *              the EXE's image.
 18  *
 19  * RETURN VALUE
 20  *      NULL on error; otherwise the entry point
 21  *      to call for initializing the DLL.
 22  *
 23  * REVISIONS
 24  *
 25  * NOTE
 26  *      04.01.2004 hb Previous this function was used for all images (dll + exe).
 27  *                    Currently the function is only used for the exe.
 28  */
 29 PEPFUNC LdrPEStartup (PVOID  ImageBase,
 30                       HANDLE SectionHandle,
 31                       PLDR_DATA_TABLE_ENTRY* Module,
 32                       PWSTR FullDosName)
 33 {
 34     NTSTATUS             Status;
 35     PEPFUNC              EntryPoint = NULL;
 36     PIMAGE_DOS_HEADER    DosHeader;
 37     PIMAGE_NT_HEADERS    NTHeaders;
 38     PLDR_DATA_TABLE_ENTRY tmpModule;
 39     PVOID ActivationContextStack;
 40 
 41     DPRINT("LdrPEStartup(ImageBase %p SectionHandle %p)\n",
 42            ImageBase, SectionHandle);
 43 
 44     /*
 45      * Overlay DOS and WNT headers structures
 46      * to the DLL's image.
 47 */
 48     DosHeader = (PIMAGE_DOS_HEADER) ImageBase;
 49     NTHeaders = (PIMAGE_NT_HEADERS) ((ULONG_PTR)ImageBase + DosHeader->e_lfanew);
 50 
 51     /*
 52      * If the base address is different from the
 53      * one the DLL is actually loaded, perform any
 54      * relocation.
 55 */
 56     if (ImageBase != (PVOID)NTHeaders->OptionalHeader.ImageBase)
 57     {
 58         DPRINT("LDR: Performing relocations\n");
 59         Status = LdrPerformRelocations(NTHeaders, ImageBase);
 60         if (!NT_SUCCESS(Status))
 61         {
 62             DPRINT1("LdrPerformRelocations() failed\n");
 63             return NULL;
 64         }
 65     }
 66 
 67     if (Module != NULL)
 68     {
 69         *Module = LdrAddModuleEntry(ImageBase, NTHeaders, FullDosName);
 70         (*Module)->SectionPointer = SectionHandle;
 71     }
 72     else
 73     {
 74         Module = &tmpModule;
 75         Status = LdrFindEntryForAddress(ImageBase, Module);
 76         if (!NT_SUCCESS(Status))
 77         {
 78             return NULL;
 79         }
 80     }
 81 
 82     if (ImageBase != (PVOID) NTHeaders->OptionalHeader.ImageBase)
 83     {
 84         (*Module)->Flags |= LDRP_IMAGE_NOT_AT_BASE;
 85     }
 86 
 87     /* Allocate memory for the ActivationContextStack */
 88     /* FIXME: Verify RtlAllocateActivationContextStack behavior */
 89     Status = RtlAllocateActivationContextStack(&ActivationContextStack);
 90     if (NT_SUCCESS(Status))
 91     {
 92         DPRINT("ActivationContextStack %x\n",ActivationContextStack);
 93         DPRINT("ActiveFrame %x\n", ((PACTIVATION_CONTEXT_STACK)ActivationContextStack)->ActiveFrame);
 94         NtCurrentTeb()->ActivationContextStackPointer = ActivationContextStack;
 95         NtCurrentTeb()->ActivationContextStackPointer->ActiveFrame = NULL;
 96     }
 97     else
 98         DPRINT1("Warning: Unable to allocate ActivationContextStack\n");
 99 
100     /*
101      * If the DLL's imports symbols from other
102      * modules, fixup the imported calls entry points.
103 */
104     DPRINT("About to fixup imports\n");
105     Status = LdrFixupImports(NULL, *Module);
106     if (!NT_SUCCESS(Status))
107     {
108         DPRINT1("LdrFixupImports() failed for %wZ\n", &(*Module)->BaseDllName);
109         return NULL;
110     }
111     DPRINT("Fixup done\n");
112     RtlEnterCriticalSection(NtCurrentPeb()->LoaderLock);
113     Status = LdrpInitializeTlsForProccess();
114     if (NT_SUCCESS(Status))
115     {
116         Status = LdrpAttachProcess();
117     }
118     if (NT_SUCCESS(Status))
119     {
120         LdrpTlsCallback(*Module, DLL_PROCESS_ATTACH);
121     }
122 
123 
124     RtlLeaveCriticalSection(NtCurrentPeb()->LoaderLock);
125     if (!NT_SUCCESS(Status))
126     {
127         return NULL;
128     }
129 
130     /*
131      * Compute the DLL's entry point's address.
132 */
133     DPRINT("ImageBase = %p\n", ImageBase);
134     DPRINT("AddressOfEntryPoint = 0x%lx\n",(ULONG)NTHeaders->OptionalHeader.AddressOfEntryPoint);
135     if (NTHeaders->OptionalHeader.AddressOfEntryPoint != 0)
136     {
137         EntryPoint = (PEPFUNC) ((ULONG_PTR)ImageBase
138                                 + NTHeaders->OptionalHeader.AddressOfEntryPoint);
139     }
140     DPRINT("LdrPEStartup() = %p\n",EntryPoint);
141     return EntryPoint;
142 }


先加载了输入表->然后检查tls地址是否存在->然后在调用tls

调用的时候会获取lock,所以tls入口和dllmain入口一样不要调用一些会导致获取这个进程全局lock的函数。

寻找tls表

 1 static NTSTATUS
 2 LdrpInitializeTlsForProccess(VOID)
 3 {
 4     PLIST_ENTRY ModuleListHead;
 5     PLIST_ENTRY Entry;
 6     PLDR_DATA_TABLE_ENTRY Module;
 7     PIMAGE_TLS_DIRECTORY TlsDirectory;
 8     PTLS_DATA TlsData;
 9     ULONG Size;
10 
11     DPRINT("LdrpInitializeTlsForProccess() called for %wZ\n", &ExeModule->BaseDllName);
12 
13     if (LdrpTlsCount > 0)
14     {
15         LdrpTlsArray = RtlAllocateHeap(RtlGetProcessHeap(),
16                                        0,
17                                        LdrpTlsCount * sizeof(TLS_DATA));
18         if (LdrpTlsArray == NULL)
19         {
20             DPRINT1("Failed to allocate global tls data\n");
21             return STATUS_NO_MEMORY;
22         }
23 
24         ModuleListHead = &NtCurrentPeb()->Ldr->InLoadOrderModuleList;
25         Entry = ModuleListHead->Flink;
26         while (Entry != ModuleListHead)
27         {
28             Module = CONTAINING_RECORD(Entry, LDR_DATA_TABLE_ENTRY, InLoadOrderLinks);
29             if (Module->LoadCount == LDRP_PROCESS_CREATION_TIME &&
30                     Module->TlsIndex != 0xFFFF)
31             {
32                 TlsDirectory = (PIMAGE_TLS_DIRECTORY)
33                                RtlImageDirectoryEntryToData(Module->DllBase,
34                                        TRUE,
35                                        IMAGE_DIRECTORY_ENTRY_TLS,
36                                        &Size);
37                 ASSERT(Module->TlsIndex < LdrpTlsCount);
38                 TlsData = &LdrpTlsArray[Module->TlsIndex];
39                 TlsData->StartAddressOfRawData = (PVOID)TlsDirectory->StartAddressOfRawData;
40                 TlsData->TlsDataSize = TlsDirectory->EndAddressOfRawData - TlsDirectory->StartAddressOfRawData;
41                 TlsData->TlsZeroSize = TlsDirectory->SizeOfZeroFill;
42                 if (TlsDirectory->AddressOfCallBacks)
43                     TlsData->TlsAddressOfCallBacks = (PIMAGE_TLS_CALLBACK *)TlsDirectory->AddressOfCallBacks;
44                 else
45                     TlsData->TlsAddressOfCallBacks = NULL;
46                 TlsData->Module = Module;
47 #if 0
48                 DbgPrint("TLS directory for %wZ\n", &Module->BaseDllName);
49                 DbgPrint("StartAddressOfRawData: %x\n", TlsDirectory->StartAddressOfRawData);
50                 DbgPrint("EndAddressOfRawData:   %x\n", TlsDirectory->EndAddressOfRawData);
51                 DbgPrint("SizeOfRawData:         %d\n", TlsDirectory->EndAddressOfRawData - TlsDirectory->StartAddressOfRawData);
52                 DbgPrint("AddressOfIndex:        %x\n", TlsDirectory->AddressOfIndex);
53                 DbgPrint("AddressOfCallBacks:    %x\n", TlsDirectory->AddressOfCallBacks);
54                 DbgPrint("SizeOfZeroFill:        %d\n", TlsDirectory->SizeOfZeroFill);
55                 DbgPrint("Characteristics:       %x\n", TlsDirectory->Characteristics);
56 #endif
57                 /*
58                  * FIXME:
59                  *   Is this region allways writable ?
60 */
61                 *(PULONG)TlsDirectory->AddressOfIndex = Module->TlsIndex;
62             }
63             Entry = Entry->Flink;
64         }
65     }
66 
67     DPRINT("LdrpInitializeTlsForProccess() done\n");
68     return STATUS_SUCCESS;
69 }

调用tls

 1 static __inline VOID LdrpTlsCallback(PLDR_DATA_TABLE_ENTRY Module, ULONG dwReason)
 2 {
 3     PIMAGE_TLS_CALLBACK *TlsCallback;
 4     if (Module->TlsIndex != 0xFFFF && Module->LoadCount == LDRP_PROCESS_CREATION_TIME)
 5     {
 6         TlsCallback = LdrpTlsArray[Module->TlsIndex].TlsAddressOfCallBacks;
 7         if (TlsCallback)
 8         {
 9             while (*TlsCallback)
10             {
11                 TRACE_LDR("%wZ - Calling tls callback at %x\n",
12                           &Module->BaseDllName, *TlsCallback);
13                 (*TlsCallback)(Module->DllBase, dwReason, NULL);
14                 TlsCallback++;
15             }
16         }
17     }
18 }
while (*TlsCallback)这样导致上一个Tls有机会修改下一个tls值,也就是动态添加tls

tls_callback会在其他事件中被调用

dll加载/卸载

 1 static BOOLEAN LdrpCallDllEntry(PLDR_DATA_TABLE_ENTRY Module, DWORD dwReason, PVOID lpReserved)
 2 {
 3     if (!(Module->Flags & LDRP_IMAGE_DLL) ||
 4             Module->EntryPoint == 0)
 5     {
 6         return TRUE;
 7     }
 8     LdrpTlsCallback(Module, dwReason);
 9     return  ((PDLLMAIN_FUNC)Module->EntryPoint)(Module->DllBase, dwReason, lpReserved);
10 }

dll卸载

  1 /*
  2  * @implemented
  3  */
  4 VOID
  5 WINAPI
  6 ExitProcess(UINT uExitCode)
  7 {
  8     CSR_API_MESSAGE CsrRequest;
  9     ULONG Request;
 10     NTSTATUS Status;
 11 
 12     /* kill sibling threads ... we want to be alone at this point */
 13     NtTerminateProcess(NULL, 0);
 14 
 15     /* unload all dll's */
 16     LdrShutdownProcess();
 17 
 18     /* notify csrss of process termination */
 19     Request = TERMINATE_PROCESS;
 20     Status = CsrClientCallServer(&CsrRequest,
 21                                  NULL,
 22                                  MAKE_CSR_API(Request, CSR_NATIVE),
 23                                  sizeof(CSR_API_MESSAGE));
 24     if (!NT_SUCCESS(Status) || !NT_SUCCESS(CsrRequest.Status))
 25     {
 26         DPRINT("Failed to tell csrss about terminating process\n");
 27     }
 28 
 29     NtTerminateProcess(NtCurrentProcess (),
 30                        uExitCode);
 31 
 32     /* should never get here */
 33     ASSERT(0);
 34     while(1);
 35 }
 36 
 37 /*
 38  * @implemented
 39  */
 40 NTSTATUS NTAPI
 41 LdrShutdownProcess (VOID)
 42 {
 43     LdrpDetachProcess(TRUE);
 44     return STATUS_SUCCESS;
 45 }
 46 
 47 
 48 /**********************************************************************
 49  * NAME                                                         LOCAL
 50  *      LdrpDetachProcess
 51  *
 52  * DESCRIPTION
 53  *      Unload dll's which are no longer referenced from others dll's
 54  *
 55  * ARGUMENTS
 56  *      none
 57  *
 58  * RETURN VALUE
 59  *      none
 60  *
 61  * REVISIONS
 62  *
 63  * NOTE
 64  *      The loader lock must be held on enty.
 65  */
 66 static VOID
 67 LdrpDetachProcess(BOOLEAN UnloadAll)
 68 {
 69     PLIST_ENTRY ModuleListHead;
 70     PLIST_ENTRY Entry;
 71     PLDR_DATA_TABLE_ENTRY Module;
 72     static ULONG CallingCount = 0;
 73 
 74     DPRINT("LdrpDetachProcess() called for %wZ\n",
 75            &ExeModule->BaseDllName);
 76 
 77     if (UnloadAll)
 78         LdrpDllShutdownInProgress = TRUE;
 79 
 80     CallingCount++;
 81 
 82     ModuleListHead = &NtCurrentPeb()->Ldr->InInitializationOrderModuleList;
 83     Entry = ModuleListHead->Blink;
 84     while (Entry != ModuleListHead)
 85     {
 86         Module = CONTAINING_RECORD(Entry, LDR_DATA_TABLE_ENTRY, InInitializationOrderModuleList);
 87         if (((UnloadAll && Module->LoadCount == LDRP_PROCESS_CREATION_TIME) || Module->LoadCount == 0) &&
 88                 Module->Flags & LDRP_ENTRY_PROCESSED &&
 89                 !(Module->Flags & LDRP_UNLOAD_IN_PROGRESS))
 90         {
 91             Module->Flags |= LDRP_UNLOAD_IN_PROGRESS;
 92             if (Module == LdrpLastModule)
 93             {
 94                 LdrpLastModule = NULL;
 95             }
 96             if (Module->Flags & LDRP_PROCESS_ATTACH_CALLED)
 97             {
 98                 TRACE_LDR("Unload %wZ - Calling entry point at %x\n",
 99                           &Module->BaseDllName, Module->EntryPoint);
100                 LdrpCallDllEntry(Module,
101                                  DLL_PROCESS_DETACH,
102                                  (PVOID)(Module->LoadCount == LDRP_PROCESS_CREATION_TIME ? 1 : 0));
103             }
104             else
105             {
106                 TRACE_LDR("Unload %wZ\n", &Module->BaseDllName);
107             }
108             Entry = ModuleListHead->Blink;
109         }
110         else
111         {
112             Entry = Entry->Blink;
113         }
114     }
115 
116     if (CallingCount == 1)
117     {
118         Entry = ModuleListHead->Blink;
119         while (Entry != ModuleListHead)
120         {
121             Module = CONTAINING_RECORD(Entry, LDR_DATA_TABLE_ENTRY, InInitializationOrderModuleList);
122             Entry = Entry->Blink;
123             if (Module->Flags & LDRP_UNLOAD_IN_PROGRESS &&
124                     ((UnloadAll && Module->LoadCount != LDRP_PROCESS_CREATION_TIME) || Module->LoadCount == 0))
125             {
126                 /* remove the module entry from the list */
127                 RemoveEntryList (&Module->InLoadOrderLinks);
128                 RemoveEntryList (&Module->InInitializationOrderModuleList);
129 
130                 NtUnmapViewOfSection (NtCurrentProcess (), Module->DllBase);
131                 NtClose (Module->SectionPointer);
132 
133                 TRACE_LDR("%wZ unloaded\n", &Module->BaseDllName);
134 
135                 RtlFreeUnicodeString (&Module->FullDllName);
136                 RtlFreeUnicodeString (&Module->BaseDllName);
137 
138                 RtlFreeHeap (RtlGetProcessHeap (), 0, Module);
139             }
140         }
141     }
142     CallingCount--;
143     DPRINT("LdrpDetachProcess() done\n");
144 }



线程创建

 1 NTSTATUS
 2 LdrpAttachThread (VOID)
 3 {
 4     PLIST_ENTRY ModuleListHead;
 5     PLIST_ENTRY Entry;
 6     PLDR_DATA_TABLE_ENTRY Module;
 7     NTSTATUS Status;
 8 
 9     DPRINT("LdrpAttachThread() called for %wZ\n",
10            &ExeModule->BaseDllName);
11 
12     RtlEnterCriticalSection (NtCurrentPeb()->LoaderLock);
13 
14     Status = LdrpInitializeTlsForThread();
15 
16     if (NT_SUCCESS(Status))
17     {
18         ModuleListHead = &NtCurrentPeb()->Ldr->InInitializationOrderModuleList;
19         Entry = ModuleListHead->Flink;
20 
21         while (Entry != ModuleListHead)
22         {
23             Module = CONTAINING_RECORD(Entry, LDR_DATA_TABLE_ENTRY, InInitializationOrderModuleList);
24             if (Module->Flags & LDRP_PROCESS_ATTACH_CALLED &&
25                     !(Module->Flags & LDRP_DONT_CALL_FOR_THREADS) &&
26                     !(Module->Flags & LDRP_UNLOAD_IN_PROGRESS))
27             {
28                 TRACE_LDR("%wZ - Calling entry point at %x for thread attaching\n",
29                           &Module->BaseDllName, Module->EntryPoint);
30                 LdrpCallDllEntry(Module, DLL_THREAD_ATTACH, NULL);
31             }
32             Entry = Entry->Flink;
33         }
34 
35         Entry = NtCurrentPeb()->Ldr->InLoadOrderModuleList.Flink;
36         Module = CONTAINING_RECORD(Entry, LDR_DATA_TABLE_ENTRY, InLoadOrderLinks);
37         LdrpTlsCallback(Module, DLL_THREAD_ATTACH);
38     }
39 
40     RtlLeaveCriticalSection (NtCurrentPeb()->LoaderLock);
41 
42     DPRINT("LdrpAttachThread() done\n");
43 
44     return Status;
45 }

线程创建的时候先调用了已经存在的模块tls_callback,然后调用dllmian.

在调用dllmian之前就调用了RtlEnterCriticalSection (NtCurrentPeb()->LoaderLock);所以一些同学调用disbaleThreadxxx来防止dllmain锁是无效滴。

 线程结束

 1 /*
 2  * @implemented
 3  */
 4 VOID
 5 WINAPI
 6 ExitThread(DWORD uExitCode)
 7 {
 8     NTSTATUS Status;
 9     ULONG LastThread;
10 
11     /*
12      * Terminate process if this is the last thread
13      * of the current process
14 */
15     Status = NtQueryInformationThread(NtCurrentThread(),
16                                       ThreadAmILastThread,
17                                       &LastThread,
18                                       sizeof(LastThread),
19                                       NULL);
20     if (NT_SUCCESS(Status) && LastThread)
21     {
22         /* Exit the Process */
23         ExitProcess(uExitCode);
24     }
25 
26     /* Notify DLLs and TLS Callbacks of termination */
27     LdrShutdownThread();
28 
29     /* Tell the Kernel to free the Stack */
30     NtCurrentTeb()->FreeStackOnTermination = TRUE;
31     NtTerminateThread(NULL, uExitCode);
32 
33     /* We should never reach this place */
34     DPRINT1("It should not happen\n");
35     while (TRUE) ;
36 }

所以只要dllmian会被调用 tls总是会被调用,并且tls先被调用。

 

上面都是个人了解,不保证完全准确,仅供参考。



转载于:https://www.cnblogs.com/w0nderful/archive/2011/12/06/2278264.html

weixin_30587927
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
初窥Windows内核——学习Windows Research Kernel手记(四)
SaiCT的专栏
12-20 3729
STEP3——记录/恢复用户栈    有了前面的基础,要完成用户栈的记录也不是难事了。基本思路就是想办法找到用户栈的栈底地址,再找到栈顶地址,计算出栈的大小,然后调用函数PspRecordOrCopyData即可。    栈顶的地址是由栈顶指针esp寄存器保存的。前面已经说过,在系统调用时,使用的是内核栈,所以当前的esp寄存器并不是我们所期望的。那么这个栈顶地址应该去哪儿找呢
GalaxyAP过游戏反调试框架
11-23
工程说明: 1.GalaxyAP 应用程序 2。HookPortBypass 重加载内核(包括nt和win32k) 3。TEST_KIDISPAT 自分发异常(朋友帮忙实现了部分,代码主要来源WRK) ps:hookport代码抄网上的,来源http://www.m5home.com/bbs/forum.php 这套GalaxyAP工程主要实现了: 1。重加载内核(借助 hookport思路配合peloader) 2.自实现异常分发的几个主要函数 3。自创建debugobject,使用另一个object 3。也使用了另一个fastmute 4。自己发现吧。。。 PS:驱动的加载有时候在游戏前好使有时候在启动游戏后好使 PPS:这货也只能在XP上跑了 实现了HOOK框架,只需要按下面填写即可 ////////////////////////////////////////////// //这是为了HOOK原来的ntos,转到新的os中 VOID (WINAPI *DUMMYFUCK )(IN PVOID Object); // VOID (WINAPI *PspUserThreadStartup )(IN PVOID Object); // VOID (WINAPI *PspSystemThreadStartup )(IN PVOID Object);
获取kernel32.dll基址
bcbobo21cn的专栏
01-03 5606
获取kernel32.dll基址 一 原理和概述 找kernel32基地址的方法一般有三种:暴力搜索法、异常处理链表搜索法、PEB法。 暴力搜索法是最早的动态查找kernel32基地址的方法。它的原理是: 几乎所有的win32可执行文件(pe格 式文件)运行的时候都加载kernel32.dll,可执行文件进入入口点执行后esp中存放的一般是 Ker
 进程和线程的结束
maomao171314的专栏
12-12 750
进程和线程的结束 在执行体层,线程的终止函数是NtTerminateThread,内部调用PspTerminateThreadByPointer完成终止处理。系统线程的终止函数是PsTerminateSystemThread,内部调用 PspTerminateThreadByPointer完成终止处理。 三个函数原型如下: NTSTATUS NtTerminateThread( _in_opt HANDLE ThreadHandle, _in NTSTATUS ExitStatus); N.
今天公司电脑系统崩溃,将制作PE启动过程记录用于以后使用。
m0_60353617的博客
07-20 249
一,什么是PE 根据维基百科的解释,PE,Windows预先安装环境,简称Windows PE或WinPE。 二,PE的使用 PE不仅仅可以用来重装系统,还可以清楚登陆密码,磁盘分区,系统崩溃时拷贝桌面重要资料。 三,使用U盘启动制作u盘启动 直接开机选择u盘启动,不同的电脑启动方式不同 ...
TLS_CallBack_test.rar_PE TLS_TLS_TLS PE_pe_pe文件
09-14
PE文件TLS表演示程序。在文件运行前先执行一个函数。
TLS_CallBack.rar_TLS CALLBA_pe debugger_tlsCallback_tls_callba_手
09-19
TLS回调在PE(Portable Executable)文件中被广泛使用,不仅用于初始化线程本地数据,还可能被恶意软件滥用以逃避调试和实现自我保护。 首先,我们来理解一下**TLS回调**的工作原理。当一个PE文件加载到进程内存时...
TLS.rar_PE TLS
09-24
标题中的“TLS.rar_PE TLS”指的是与PE(Portable Executable)文件格式相关的TLS(Transport Layer Security)技术,但这里的TLS并非我们通常理解的网络通信安全协议,而是PE文件中的一个特性,即“线程局部存储”...
TLS_TEST.rar_TLS_Thread Local Storage
09-24
标题“TLS_TEST.rar_TLS_Thread Local Storage”涉及到的是关于网络安全中的Transport Layer Security(TLS)协议以及在编程中的Thread Local Storage(TLS)概念。TLS是互联网上用于保护数据传输的安全标准,而...
wire1x_2_1_src.zip_TLS_XP EAP-pe_eap tls_wire1x_wm6 wifi
09-23
在"wire1x_2_1_src.zip"这个压缩包中,包含了相关的源代码和资源,如"www.pudn.com.txt"可能是项目介绍或引用的文档,而"wire1x_2_0_src"则可能包含了实现802.1x supplicant的具体代码,特别是对于TLS、TTLSPEAP和...
Windows NT内核函数大全
qq_42577465的博客
06-06 1544
Nt内核函数大全 NtLoadDriver服务控制管理器加载设备驱动. NtUnloadDriver服务控制管理器支持卸载指定的驱动程序. NtRegisterNewDevice加载新驱动文件. NtQueryIntervalProfile返回数据. NtSetIntervalProfile指定采样间隔. NtStartProfile开始取样. NtStopProfile停止采样...
熬之滴水成石:最想深入了解的内容--windows内核机制(9)
你的天空阅读专栏
11-25 708
61 进程与线程(6) 在windows的OS中,一个进程的创建是从一个内核函数ntcreateprocess函数开始的。在内核中当然要创建我们之前说到的那个对象;EPROCESS,这个对象创建完毕,实际上也创建了一个初始化的线程,这个时候,这个线程也创建了一个供自己调用的栈并且设置好它的执行环境。进程一个最为重要的事情就是要建立自己独立的地址空间。这个叫NtCreateProcessEx的函数
反调试—利用SEH链表
王二娃的生活的博客
08-03 2626
内容摘要:进程在被调试的时候,进程中TEB中的PEB中的BeingDebugged成员的值为1而正常情况下为0,于是通过访问该成员可知道当前是否为调试状态,来决定是否继续执行程序,原理和TLS反调试相似,不过这里把反调试代码放到了SEH中。 在说明该技术前要先来引用相关知识块: TEB(Thread Environment Block,线程环境块)系统在此TEB中保存频繁使用的线程相关的数据。
Windows内核基础之线程
tutucoo
12-07 926
1. 线程结构体 在0环,每个线程都有一个结构体ETHREAD。 nt!_ETHREAD +0x000 Tcb : _KTHREAD +0x200 CreateTime : _LARGE_INTEGER +0x208 ExitTime : _LARGE_INTEGER +0x208 KeyedWaitChain : ...
SEH 机制探索1 --- TEB 结构
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-05 1344
SEH 机制探索1 --- TEB 结构 在 windows 中的 SEH(Structured Exception Handling)结构化异常处理需要使用 TIB(Thread Information Block)线程信息块的 _EXCEPTION_REGISTRATION_RECORD结构。而 TIB 结构包括在 TEB(Thread Environment Block) 结构下,
用户层修改peb实现隐藏一些东西
weixin_34032827的博客
03-14 973
#include "stdafx.h" #include <string> #include <Windows.h> #include <Shlwapi.h> #pragma comment(lib,"ole32.lib") #pragma comment(lib,"shlwapi.lib") #pragma comment(lib,"shell32.l...
怎么理解堆栈指针(Stack Pointer
热门推荐
进击的小怪兽
03-07 1万+
如果的堆栈的实现是往上长的(就是说往顶的方向长,其实质是栈底是定死的不能动,入栈的东西只能不断往上叠,这就像在书桌上放书一样,桌底是定死的,所以书只能一本一本地往上堆,往上长),计算机内部的堆栈的实现采取的就是这种模式,所以就得“先修改指针,然后插入数 据,出栈时刚好相反”,因为堆栈指针指向的总是栈顶元素,栈底不能动,所以数据入栈前要先修改指针使它指向新的空余空间然后再把数据存进去,出栈的时候 自
!teb 调试
ilzx53xx0的博客
09-11 1179
Sometimes there is no private PDB file available for a module in a crash dump although we know they exist for different versions of the same module. The typical example is when we have a public PDB fi
怎么mbedtls_config.h 中定义 MBEDTLS_SSL_RENEGOTIATION 为 MBEDTLS_SSL_RENEGOTIATION_DISABLED
最新发布
07-27
要在 mbedtls_config.h 中将 `MBEDTLS_SSL_RENEGOTIATION` 定义为 `MBEDTLS_SSL_RENEGOTIATION_DISABLED`,请按照以下步骤操作: 1. 打开 mbedtls_config.h 文件,该文件通常位于 mbedtls 库的 include/mbedtls ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值