yuntianhai的专栏

           Win32的技术文档一再强调线程分为：GUI线程和Worker线程。 GUI线程负责建造窗口以及处理主消息循环，worker负责运行纯粹运算工作，如重新计算或重新编页等等，它们会导致主线程的消息队列失去反应。一般而言，GUI线程绝不会去做那些不能够马上完成的工作。        GUI线程的定义是：拥有消息队列的线程，任何一个特定窗口的消息总是被这一窗口的线程抓到并处理，

Crash Dump AnalysisXNA Developer Connection (XDC)December 2005Not all bugs can be found prior to release, which means not all bugs that throw exceptions can be found before release. Fortunately,

二．驱动调试 下面我介绍下关于驱动的调试，这里以windbg为例：1.配置windbg双机调试环境，（VMware Workstation）（1） 创建windbg快捷方式在目标中加上-k com:port=//./pipe/com_1,baud=115200,pipe 例如："E:/Program Files/Debugging Tools for Windows/windbg.

（5） 然后跟着我做：首先运行windbg，然后打开虚拟机客户机，选中调试模式  498)this.style.width=498;" border="0" />   （6）进入要调试的系统后我们可以在windbg中用Debug命

在卸载例程中对ssdt进行修复驱动的功能就基本完成了，  VOID OnUnload(IN PDRIVER_OBJECT DriverObject){NTSTATUS ntStatus;UNICODE_STRING DeviceName;UNICODE_STRING DeviceLinkS

这里我们先定义一个控制码 #define IOCTL_PROTECT_CONTROL CTL_CODE(FILE_DEVICE_UNKNOWN,0x800,METHOD_BUFFERED,FILE_ANY_ACCESS)这里我们使用他来和应用程序通讯，Irp->AssociatedIrp.SystemBuffer这个结构中存放用户模式程序发送给驱动程序的数据。这里使用METHOD_BU

I/O请求包数据结构498)this.style.width=498;" border="0" />MdlAddress(PMDL)域指向一个内存描述符表(MDL)，该表描述了一个与该请求关联的用户模式缓冲区。如果顶级设备对象的Flags域为DO_DIRECT_IO，则I/O管理器为IRP_MJ_READ或IRP_MJ_WRITE请求创建这个MDL。如果一个IRP_MJ_DEVICE_CO

作者: 诚信网安－－小麒麟 出处:51CTO.com　2008-03-07 14:06一．驱动编写随着对windows系统的深入研究，越来越多的内核方面的知识被挖掘出来了，今天我们讨论下如何写一个简单的驱动，并使用现在比较新的windbg调试器进行调试。首先写驱动要对驱动有一个比较全面的认识。一个简单的驱动一般有以下几个部分组成：1，一个入口点(DriverEntry):用于创建设

 了解了恶意代码的基本概念后，叶子再跟大家一起来研究对恶意代码的分析流程。 ◆首先，我们通过各种渠道收集到最新的未知恶意代码样本时，进行文件格式分析。通过PEID之类的工具进行文件格式检查，分析样本是否进行加壳处理？样本是何种语言编写的？以及是否有其它附加的数据等。样本经过加壳的程序，需要对其进行查壳，确定程序的加壳类型，并通过脱壳工具或手段进行脱壳，分析出程序的编程语言。如果无法查出壳类

 通过静态分析调式，进一步分析病毒的一些特征行为。样本中病毒释放后，病毒体为spo0lsv.exe文件，因此需要对此病毒做壳的侦查及脱壳工作（略过）。通过IDA静态分析工具分析脱壳后的spo0lsv.exe样本，如下图所示： 498)this.style.width=498;" border=0>通过观察“strings”窗口，可以初步分析样本的一些情况。如可以看出

 ◆再次进行脱壳，最后侦查的结果是使用Dephi语言进行编码。 ◆通过注册表监视工具RegMon，监视病毒运行时对注册表的操作行为；通过文件监视工具FileMon监视病毒运行时对文件的操作行为。也可以用快照工具RegSnap进行注册表和指定目录下的文件进行前后对比，快速找出病毒新建和修改的注册表，以及本地文件的释放行为。498)this.style.width=498;"

                                              安全专家浅谈恶意代码的研究分析2007年互联网上传播的有记载的新型恶意程序（包括病毒，蠕虫，木马等）数目达2,227,415个，同2006年的结果(535,131个)相比翻升了四倍，恶意软件总数量达到354GB。许多反病毒专家认为这些恶意软件的急速增加已经达到了一种很极端的情况。恶意软件的快速发展、广泛

    One of the first useful things you will want to do when in the bowels of ring 0 is attack the thing from a debugger point of view. In my case I like using Windows Debugger [windbg] (hey its free,

        许多计算机系统对基本数据类型的可允许地址做出了一些限制，要求某种类型的对象的地址必须是某个值K（通常是2、4或8）的倍数。这种对齐限制简化了处理器和存储器系统之间接口的硬件设计。例如，假设一个处理器总是从存储器中读取8个字节出来，则地址地址必须是8的倍数。如果我们能保证所有的double都将它们的地址对齐成8的倍数，那么就可以用一个存储操作来读或者写值了。否则，我们可能需要执行两次

   Kerberos是计算机网络中的验证服务请求的一种安全方法。Kerberos是在麻省理工学院(MIT)的Athena项目中开发的。它的名字取自希腊神话；Kerberos是守卫地域之门的一只三头狗。Kerberos把用户的请求变成验证过程的一张加密的“入场券”，然后验证过程再向服务器提出特定服务的请求。用户的密码不一定要通过网络。Kerberos的版本(客户端或服务器)可以在MIT下载到。