Kernel - 随笔分类 - Acg!Check

[转载]关于NtCreateUserProcess和NtCreateThreadEx的参数

摘要：转自: http://hi.baidu.com/zzzevazzz/item/b2a9c9a4ea6805f615329ba7这两个Vista新增的系统服务函数原型未公开，目前网上搜索到的资料有些问题，特别是对于最后一个参数的描述不确切。首先说NtCreateUserProcess。网上找到的函数原... 阅读全文

posted @ 2015-02-10 13:22 Acg!Check 阅读(3459) 评论(0) 推荐(0)

[转载]PAE ( Physical Address Extension )

摘要：转自:http://blog.chinaunix.net/uid-20384269-id-1954602.html首先，内存访问和管理是一个跨越应用程序，操作系统，硬件平台的一个复杂过程，不能单纯的讲32bit系统就支持4G内存，从而认为这个过程只是OS和内存两者之间的关系理论上：32位系统，32b... 阅读全文

posted @ 2015-02-02 21:45 Acg!Check 阅读(1260) 评论(0) 推荐(0)

[转载]Win7中的页目录

摘要：转自:http://user.qzone.qq.com/31731705/blog/1324046552 文章PAE下的虚拟内存映射分析(http://user.qzone.qq.com/31731705/blog/1323414733)和PAE下的虚拟内存映射实践(http://user.... 阅读全文

posted @ 2015-02-02 21:44 Acg!Check 阅读(680) 评论(0) 推荐(0)

[转载]Windows下的分页模式- 页目录和页表从物理内存到虚拟映射求值

摘要：标题:【原创】Windows下的分页模式- 页目录和页表从物理内存到虚拟映射求值作者:hrpirip 时间:2012-12-06,12:45:36 链接:http://bbs.pediy.com/showthread.php?t=159554 昨天在网上看到一段代码令大为不解，大家都知道一个... 阅读全文

posted @ 2015-02-02 21:43 Acg!Check 阅读(661) 评论(0) 推荐(0)

[转载]PAE下的虚拟内存映射实践

摘要：转自:http://user.qzone.qq.com/31731705/blog/1323426728 前文是理论分析，在此：PAE下的虚拟内存映射分析（http://user.qzone.qq.com/31731705/blog/1323414733），理论需要结合实际，现在来实际体验一下。... 阅读全文

posted @ 2015-02-02 21:43 Acg!Check 阅读(666) 评论(0) 推荐(0)

[转载]PAE下的虚拟内存映射分析

摘要：转自:http://user.qzone.qq.com/31731705/blog/1323414733 PAE 即为物理地址扩展(Physical Address Extension)，详细的内容请Google。我的电脑是Win7，CPU是双核处理器，信息如下，0: kd> !sysinfo... 阅读全文

posted @ 2015-02-02 21:41 Acg!Check 阅读(479) 评论(0) 推荐(0)

[转载]页表项(PTE)地址计算公式的解释

摘要：转自: http://www.pediy.com/kssd/pediy10/62497.html在《JIURL玩玩Win2k内存篇分页机制(三)》中提到计算虚拟地址对应PTE地址的公式，如下：代码:PTE_Addr=(VirtualAddr>>12)*4+0xC0000000从虚拟地址转换到物理地址... 阅读全文

posted @ 2015-02-02 21:39 Acg!Check 阅读(2597) 评论(0) 推荐(0)

[转载]关于句柄表的一些文章

摘要：文章链接:1> Windows内核情景分析 3.4.1 Windows 进程的句柄表2> Windows 句柄表格式3> Windows句柄表分配算法分析4> 浅谈Windows句柄表5> 句柄啊,3层表啊,ExpLookupHandleTableEntry啊... 5楼-----------... 阅读全文

posted @ 2015-02-02 21:38 Acg!Check 阅读(509) 评论(0) 推荐(0)

[转载]静态分析nt!KiFastCallEntry

摘要：转载: http://bbs.pediy.com/showthread.php?t=89407在XP系统中，系统服务在内核的入口是KiFastCallEntry，我们从该入口开始，分析这一段代码都做了什么工作。由于水平有限和背景知识不够，本人没有完全读懂它们，作为抛砖引玉，我先将我所看懂的和大家分... 阅读全文

posted @ 2015-02-02 21:35 Acg!Check 阅读(580) 评论(0) 推荐(0)

[转载]Windows系统调用架构分析—也谈KiFastCallEntry函数地址的获取

摘要：原文地址：点击打开链接为什么要写这篇文章 1.因为最近在学习《软件调试》这本书，看到书中的某个调试历程中讲了Windows的系统调用的实现机制，其中讲到了从Ring3跳转到Ring0之后直接进入了KiFastCallEntry这个函数。 2.碰巧前天又在网上看到了一篇老文章介绍xxx安全卫士对W... 阅读全文

posted @ 2015-02-02 20:59 Acg!Check 阅读(399) 评论(0) 推荐(0)

[转载]使用 Lookaside List 分配内存

摘要：1. 概述windows 提供了一种基于 lookaside list 的快速内存分配方案，区别于一般的使用 ExAllocatePoolWithTag() 系列函数的内存分配方式。每次从 lookaside list 里分配 fixed size 的内存。系统构建两个条 lookaside 链表... 阅读全文

posted @ 2015-02-02 18:44 Acg!Check 阅读(661) 评论(0) 推荐(0)

[转载]设备栈

摘要：1. 栈结构设备栈（Device Stack）结构与内存中的栈类似，但是 device stack 中的 entry 由 device object 中的 AttachedDevice 值的连接。如下图所示：并且由每个 device 的 DeviceExtension.AttachedTo 值指向下... 阅读全文

posted @ 2015-02-02 18:43 Acg!Check 阅读(1211) 评论(0) 推荐(0)

[转载]一份LoadImage()函数代码，可以实现基本的重载内核

摘要：这里实现一个 LoadImage() 函数，用来加载目标 image 文件。如下面的用法： 1 ... ... 2 3 4 RtlInitUnicodeString(&ImageFile, L"\\??\\C:\\windows\\system32\\ntkrn... 阅读全文

posted @ 2015-02-02 18:39 Acg!Check 阅读(1026) 评论(0) 推荐(0)

[转载]页级的保护措施

摘要：一、页的三种保护措施：★ 两种权限保护：supervisor（0、1及2级）和user（3级）★ 两种访问限制：read-only 及 read/write★ PAE 下的 No Exceute 属性保护二、supervisor/user保护措施★ PDE/PTE 的 U/S域，0时：supervi... 阅读全文

posted @ 2015-02-02 16:45 Acg!Check 阅读(415) 评论(0) 推荐(0)

[转载]x86 vista 下的 paging

摘要：看一个实际的例子： kd> unt!InitBootProcessor+0x3df:81b3a6de fec8 dec al81b3a6e0 f6d8 neg al81b3a6e2 bfe0df8f81 mov edi,offset nt!ExpBootEnvironmentIn... 阅读全文

posted @ 2015-02-02 16:44 Acg!Check 阅读(294) 评论(0) 推荐(0)

[转载]理解 paging

摘要：物理地址：linear address---->paging----> physical addressSO, 这里主要理解 paging 的来龙去脉。4.1、地址组成physical address = page's base address + offset这个页基址经过几级数据结构（page-... 阅读全文

posted @ 2015-02-02 16:42 Acg!Check 阅读(517) 评论(0) 推荐(0)

Acg!Check

随笔分类 - Kernel