windows内核学习
文章平均质量分 86
Orcinus p
这个作者很懒,什么都没留下…
展开
-
windows内核学习-内存管理
内存管理使用virtualkd+windbg+winxp sp3 进行双机调试,kd> ! process 0 0查看所有进程查看notepad.exe进程EPROCESS结构体kd> dt _EPROCESS 81c502a0 0x11c VADRoot :是一个搜索二叉树的入口点 ,树的每一个节点记录了被占用的虚拟内存地址空间,这个搜索二叉树就是VAD树。VAD的属性以及遍历VAD是管理虚拟内存的,每一个进程有自己单独的一个VAD树使用VirtualAlloca原创 2021-09-29 20:45:55 · 1279 阅读 · 0 评论 -
内核学习-系统调用下
系统调用的学习上文回顾上篇文章分析得到:1.3环进0环的两种方式,分别是中断门和快速调用,CPU支持快速调用,那么_KUSER_SHARED_DATA 结构体的 SystemCall 属性指向的函数是 KiFastSystemCall,执行 KiFastSystemCall,使用快速调用的方式进0环;如果不支持,那么SystemCall 指向的函数是KiIntSystemCall,执行 KiIntSystemCall,使用中断门的方式进0环。2.快速调用不需要访问内存,而中断门需要读TSS和IDT表原创 2021-07-21 11:35:14 · 131 阅读 · 0 评论 -
内核学习-系统调用上
双机调试配置参看我的另一篇文章[原创]内核学习-双机调试环境搭建-软件逆向-看雪论坛-安全社区|安全招聘|bbs.pediy.com,基于xp sp3系统系统调用的学习分析ReadProcessMemory了解系统调用一:分析ReadProcessMemoryida打开kernel32.dll(ReadProcessMemory函数在这个dll里)参数压栈,call NTReadVirtualMemory,跳转至loc_7C802204loc_7C802204调用了sub_7C8093FD原创 2021-07-20 21:09:53 · 600 阅读 · 0 评论 -
内核学习-双机调试环境搭建
内核学习-双机调试环境搭建最近在学习windows内核,记录下自己搭建双机调试的坑点使用win10 +Windows XP Professionalnxpxp虚拟机配置部分打开xp虚拟机,进入C盘根目录,工具,文件夹选项下,取消勾选隐私受保护的系统文件,勾选显示所有文件或文件夹。显示出隐藏属性的文件,打开boot.ini文件添加下面这段内容multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="debug" /noexecute=optin /fastd原创 2021-07-19 21:37:18 · 366 阅读 · 0 评论