- 博客(8)
- 收藏
- 关注
RSS订阅原创 逆向分析ObRegisterCallbacks学习回调结构
首先调用ObRegisterCallbacks,查看所形成的结构是怎么样的。 OB_CALLBACK_REGISTRATION ObCallBack = { 0 }; OB_OPERATION_REGISTRATION ObOperation = { 0 }; ObCallBack.Version = ObGetFilterVersion(); ObCallBack.OperationRegistrationCount = 1; ObCallBack.RegistrationContext
2020-11-30 16:36:53
1221
3
原创 操作系统(哈工大李治军老师)操作系统的引导
Linux系统启动过程1:CPU读取ROM-BIOS中的地址 0xFFFF0,然后从该地址开始执行,这段代码主要是读取磁盘引导扇区(引导磁盘的第一个扇区)中的512个字节到物理地址的0x7C00处,然后跳转到0x7C00开始执行,这段代码为bootsect.s2:执行bootsect.s,bootsect.s首先将自己这块代码512字节从0x7C00处复制到0x90000处,然后读取从第二个扇区开始的4个扇区(2KB)到0x90200处,然后跳转0x90200(setup.s)执行3:执行setup.
2020-11-16 22:33:43
388
原创 Windows内核情景分析学习笔记(六)
标题64位下 3环Wow64进程进行系统调用分析以下将以ReadProcessMemory为例进行分析首先进入SysWow64下的kernel32.dll7577CFCC 8B FF mov edi,edi 7577CFCE 55 push ebp
2020-11-04 20:43:04
227
原创 Windows内核情景分析学习笔记(五)
64位下 3环64位进程进行系统调用分析以下将以ReadProcessMemory为例进行分析kernel32.dll sub rsp, 38h; mov rax, [rsp+38h+lpNumberOfBytesRead]; mov [rsp+38h+var_18], rax ; 这是将第五个参数(存放以读数据字节数的地址)保存到一个局部变量中 call <JMP.&ReadProcessMemory>;调用kernelbase.
2020-08-15 21:40:15
378
原创 Windows内核情景分析学习笔记(四)
内存管理物理内存//申请一页物理地址并挂入到对应的链表PFN_NUMBER MmAllocPage(ULONG ConsumerType);首先判断FreeZeroedPageListHead链表是否为空,如果不为空则从FreeZeroedPageListHead取下一个节点,并修改该节点属性为对应类型并挂入对应的链表中,如果FreeZeroedPageListHead为空,则判断FreeUnzeroedPageListHead是否为空,如果不为空,则跟上述一样不过需要多加一步给页面清零的操作,如
2020-07-15 19:20:34
166
1
原创 Windows内核情景分析学习笔记(三)
内存管理用户空间内存在Windows中 对于用户空间的内存采用AVL树进行管理,在Reatos中 EPROCESS中的对象Vadroot指向MADDRESS_SPACE结构Struct MADDRESS_SPACE //地址空间描述符{MEMORY_AREA* MemoryRoot;//本地址空间的已分配区段表(一个AVL树的根)VOID* LowestAddress;//本地址空间的最低地址(用户空间是0,内核空间是0x80000000)EPROCESS* Process;//本
2020-07-14 21:22:05
165
原创 Windows内核情景分析学习笔记(二)
X86系统调用上本文环境 WinXP SP2在Windows操作系统中,应用层程序进行系统调用一般有两种途径,一种是通过int 0x2e的方式,一种是通过sysenter指令即快速调用进入系统调用。接下来将以ReadProcessMemory这个函数为例来介绍在X86下是如何进行系统调用通过的。主要讲解通过快速调用的方式进行系统调用这是位于kernel32.dll中的ReadProcessMemory mov edi, edi push ebp mov ebp,
2020-07-09 17:05:42
203
原创 Windows内核情景分析学习笔记(一)
这里写自定义目录标题欢迎使用Markdown编辑器加粗样式新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入欢迎使用Markdown编辑器你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使
2020-07-08 19:33:53
365
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人