内核相关
文章平均质量分 78
xjh_Love_paopao
这个作者很懒,什么都没留下…
展开
-
另一种读写进程内存空间的方法
http://netroc682.spaces.live.com/ 丢一个比较难防的读写其他进程内存空间的方法出来,嘿嘿。貌似我还没想到什么好办法可以防住的。 内存空间不能跨进程访问的原因主要在于不同进程都有自己的页目录和页表。进程切换的很大一块也就是切换掉页目录。 Windows自己的ReadProcessMemory最终也是通过KeStackAttachProcess附加到目标进转载 2008-07-21 17:02:00 · 1877 阅读 · 0 评论 -
进程中dll模块的隐藏
http://netroc682.spaces.live.com/ 为了避免自己的某个dll模块被别人检测出来,有时候希望在自己加载一个dll之后,或者将dll注入到他人进程之后避免被检查出来。这就需要想办法抹掉这个dll的模块信息,使得Toolhelp、psapi等枚举模块的API无法枚举它。 我们可以先简单看看Windows枚举进程内模块的办法吧:转载 2008-07-21 17:06:00 · 1557 阅读 · 0 评论 -
Windows内核分析之一 —— 内核入口函数
前段时间和yuewang和一块三毛钱商量着写写Windows分析的文章,我来开个头吧,哈哈。既然是开头,所以就选择了内核入口点开始,我向来不怎么会写文章,也就当流水账记记吧,看能不能引出他们更好的分析出来J Ntoskrnl的入口点函数名是KiSystemStartup,这是bootloader执行了一些基本的初始化之后跳转到的内核入口函数,用汇编语言实现。一、KiSystemStart转载 2008-07-21 17:08:00 · 2032 阅读 · 0 评论 -
瑞星2008主动防御体系分析
http://netroc682.spaces.live.com/一、 基本原理和基本技术1、 Rising 2008本身对产品的描述:瑞星杀毒软件2008中采用的主动防御技术包含三个层次,资源访问规则控制;资源访问扫描;程序活动行为分析引擎,其中尤其以行为分析引擎技术最为关键。 第一层:资源访问控制层(即HIPS) 它通过对系统资转载 2008-07-21 17:14:00 · 976 阅读 · 0 评论