滴水逆向进程与线程

最新推荐文章于 2023-01-28 00:52:06 发布
最新推荐文章于 2023-01-28 00:52:06 发布
阅读量1.1k 收藏 3
点赞数 3
文章标签: 进程与线程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43878285/article/details/102943094
版权

一、进程结构体

EPROCESS是0环进程结构体,PEB是三环进程结构体
在这里插入图片描述
EPROCESS的第一个成员为KPROCESS
在这里插入图片描述
WaitForSingleObject可以等待对象、进程或线程,只要0环对象以DISPATCH_HEADER开头称为可等待对象
DirectoryTableBase为页目录表基址,是要填到Cr3中的值
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
windbg中dd PsActiveProcessHead查看链表头
dt _EPROCESS (PsActiveProcessHead)-88
windows任务管理器中的查看进程就是查看的这个链表
将ActiveProcessLinks断链可以实现隐藏进程
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
PEB+0x002 BeingDebugge ;UChar 一旦当前进程被调试器附加,这个成员会为1
在这里插入图片描述
PEB+0x00c Ldr ;Ptr32 _PEB_LDR_DATA 这个结构体记录了当前进程有多少模块
将这个结构体中的链表锻炼可以实现模块隐藏

在这里插入图片描述

二、线程结构体

在这里插入图片描述
ETHREAD结构体第一个成员为KTHREAD
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

最低0.47元/天 解锁文章
若面朝大海便祝你春暖花开
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
逆向——进程线程调试总结
SinceY2015
05-02 4166
1      进程 1.1    需要调试进程的几种情况: 1)        正常的单进程调试 2)        父进程生成子进程: a)        创建子进程时挂起状态,然后写入代码执行 b)        执行新文件(可能是新生成的文件) 3)        进程注入 创建新进程,代码注入 代码注入系统进程 1.2    针对每种调试的具体解决方法(通用方法——>逐步
滴水逆向软件调试
若面朝大海边竹妮春暖花开的博客
10-27 1398
一、调试对象 分为两种:创建进程和附加进程 创建进程为将未运行的程序创建进程 附加进程为将运行中的进程附加 对调试器做的事 DebugActiveProcess调用了DbgUiConnectToDbg,然后调用了ntdll.dll模块中的DbgUiConnectToDbg DbgUiConnectToDbg调用ZwCreateDebugObject,进入0环,创建_DEBUG_OBJECT...
ThreadSwitch_滴水_threadswitch_线程切换_
10-03
来自滴水课件的一份代码
嵌入式实时操作系统6——链表数据结构
li_man_man_man的博客
12-20 1565
链表结构的作用 在《RTOS系列5——就绪表》中描述了操作系统内核中的就绪表使用了链表结构,就绪表的框图如下: 在操作系统内核中不仅仅是就绪表使用了链表结构,等待表和挂起表也都用到了链表结构。 链表数据结构有以下优点: 1、在保留原有物理顺序的情况下,插入和删除速度快,效率高。插入和删除只需要改变几个指针变量。 2、链表中的表项数量没有上限。存储的表项上限只与内存空间大小有关,理论上如果内存无限大,链表中的表项可以动态增加到无限个。 3、动态分配内存,需要用多少个表项,就分配几个表项,不需要预先分配.
Windows进程线程学习笔记(五)—— 模拟线程切换
qq_41988448的博客
11-18 1361
Windows进程线程学习笔记(五)—— 模拟线程切换前言代码分析 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! 代码分析 线程结构体(仿ETHREAD): typedef struct { char *name; // 线程名 int Flags; // 线程状态 int SleepMilli...
34进程线程进程结构体
qq_18059143的博客
11-29 599
前言:操作系统创造进程线程,实质就是构建一个结构体。 一、进程结构体EPROCESS 使用命令查看:dt _EPROCESS PEB也是描述进程的一个结构体,但是是提供给3环使用的,而不是0环。每个windows进程在0环都有一个对应的结构体:EPROCESS 这个结构体包含了进程所有重要的信息。 成员之KPROCESS +...
编程达人-滴水逆向全套课件.zip
06-10
滴水逆向课程的数据,PDF及程序
滴水逆向中级课件源码
08-06
滴水逆向中级课件源码》是一个专注于软件安全和逆向分析技术的学习资源,包含了一系列相关的课程材料。逆向工程是信息安全领域中的一个重要分支,它涉及到对软件的二进制代码进行分析,以理解其功能、逻辑和潜在的...
滴水逆向三期课件,滴水逆向三期课件下载
09-10
逆向进阶,进一步深刻了解逆向及其原理,在b站等可以搜到课程,这是相对应课件
滴水逆向三期课件.zip
07-09
滴水逆向三期全部课件(海东老师讲),全套包括 EXE 练手文件 配套电子书,源码 滴水逆向三期全部课件(海东老师讲),全套包括 EXE 练手文件 配套电子书,源码
操作系统-时钟中断-模拟时钟中断的产生及设计一个对时钟中断事件进行处理的模拟程序(含报告及源码)
10-29
操作系统-时钟中断-模拟时钟中断的产生及设计一个对时钟中断事件进行处理的模拟程序,含详细代码
ClockInterval 系统时钟中断
10-25
可以读出Windows的系统时钟,并自己设置时钟长短,操作简单,适合在开发实时系统时辅助使用
windows下时钟中断程序示例
01-26
windows下简单的时钟中断程序,timeSetEvent(1000, 1, TimeProc, 0, TIME_PERIODIC);,回调函数为TimePro。
Windows内核解析之KPCR结构体和FS:[0]
bcbobo21cn的专栏
01-28 625
Windows内核解析之KPCR结构体和FS:[0];
揭开Windows线程切换的神秘面纱
sessos的博客
11-06 469
声明:本文来自滴水公司于海东老师的课程。 ThreadSwitch.h#pragma once //最大支持的线程数#define MAXGMTHREAD 100 //线程信息的结构typedef struct { char* name; //线程名 int Flags; //线程状态 int SleepMillsecondDot; //休眠时间 void* ini...
[windows内核]中断与异常处理
r250414958的博客
09-05 1915
详细解释在手册中的: CHAPTER 6 INTERRUPT AND EXCEPTION HANDLING 一、中断 描述: 中断通常是由CPU外部的输入输出设备(硬件)所触发的,供外部设备通知CPU“有事情需要处理”,因此又叫中断请求(Interrupt Request) 中断请求的目的是希望CPU暂时停止执行当前正在执行的程序,转去执行中断请求所对应的中断处理例程(中断处理程序在哪有IDT表决定) 80x86有两条中断请求线: 可屏蔽中断线,称为INTR(Interrupt Requi
线程控制(滴水)
若面朝大海边竹妮春暖花开的博客
03-29 171
Sleep函数可以让线程停止运行 SuspendThread函数和ResumeThread函数传入线程句柄可以让其他线程暂停和恢复运行 WaitForSingleObject函数用来等待对象状态发生变化,在等待对象状态发生改变前当前线程处于阻塞状态,等到对象状态发生变化,线程在继续运行 WaitForMultipleObjects函数用来等待多个内核对象,参数bWaitAll可以指定是所有对象发...
等待链表_调用链表、KPCR
qq_18811919的博客
03-30 647
KPCR KPCR:CPU控制区(Process Control Region) 在逆向操作系统内核中存在三个关键的结构体, 分别是EPRCOESS(进程结构体)、ETHREAD(线程结构体)、KPCR(CPU控制区) 每一个CPU都有一个KPCR结构体用于存储一些数据。 KPCR类似于线程结构体的一个副本用于快速查询。 KPCR介绍 1.当线程进入0环时,FS:[0]指向KPCR(3环时指向FS:[0]->TEB) 2.每个CPU都有一个KPCR结构体(一个核心一个) 3.KPCR中存储了CPU本
5.模拟线程切换
My classmates
10-19 1048
模拟Windows线程切换(ThreadSwitch) 正在运行的线程在KPCR里,等待的线程在等待链表中,调度中的线程在那32个调度链表中。 创建它是从下标1的位置开始存的而不是0,因为main需要一个线程。 创建的线程还不能调度还需要初始化的环境,寄存器的值、当前线程的堆栈要确定 模拟线程切换总结: 线程不是被动切换的,而是主动让出CPU 线程切换并没有使用TSS来保存寄存器,而是使用堆...
滴水逆向ncknafxcw.pdb
最新发布
11-18
滴水逆向是一个指的是液体水珠从接触面开始逆向移动的现象。由于水分子间的相互作用力,水珠通常会在水中向着重力方向下落。然而,在特定的情况下,我们可以通过一些特殊的手段使水珠逆向移动。 滴水逆向的实现主要依赖于超疏水性表面的设计。超疏水性表面具有非常低的沟槽表面能,使得水滴无法在表面上附着,而会形成球状的液滴。当一个超疏水性表面处于倾斜状态时,水滴就会朝向表面上坡度更低的位置移动。这种特殊的表面结构可以通过纳米级别的纹理来实现,例如利用纳米柱、纳米棒、纳米球等。 在实践应用中,滴水逆向有着潜在的应用前景。例如,通过在建筑材料表面进行专门的设计,可以防止水滴在墙面上滴落,从而减少建筑物的腐蚀和破坏。此外,在仿生学领域,滴水逆向现象也可以为设计防水涂层、制作水下摄像机等提供参考。 滴水逆向的研究不仅有助于我们更好地理解水的表面行为,也为新型材料的开发和应用提供了思路。虽然目前滴水逆向技术仍然处于实验室研究阶段,但相信随着科技的发展和不断的优化,我们能够更好地利用滴水逆向现象来解决实际问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值