返回顶部

随笔分类 -  内核

内核获取未导出函数:PspAlloCateThread
摘要:第一步:IDA查看这个函数的交叉引用,看到PspAlloCateThread 调用了该函数 二. 继续查看有谁调用了PspAllocateThread 这个函数 看到了一个导出函数 NtCreateUserProcess ,思路就是 NtCreateUserProcess --> PspAlloca 阅读全文
posted @ 2020-09-16 00:16 一身白_粉条 阅读(738) 评论(0) 推荐(0)
获取内核进程DLL基地址 与 获取某进程内部DLL地址
摘要:一、驱动编写的基本写法 DriverEntry :相当main函数 DriverUnload : 卸载函数 VOID DriverUnload(PDRIVER_OBJECT pDriverObject) { DbgPrint("已卸载驱动!\n"); } NTSTATUS DriverEntry(P 阅读全文
posted @ 2020-08-15 21:25 一身白_粉条 阅读(1606) 评论(0) 推荐(0)
Windows10 定位随机化的PTE_BASE
摘要:一、查看pte 0 可以看到当前 PTE为:FFFFF68000000000 得到PTE 之后可以根据公式 可以计算 PDE PPE PXE 的位置 g_PTE_BASE =(((虚拟地址 & 0xffffffffffff) >> 12)) << 3) + g_PTE_BASE)//这里的g_PTE 阅读全文
posted @ 2020-08-15 21:19 一身白_粉条 阅读(1603) 评论(0) 推荐(0)
系统重要的几张表关系
摘要: 阅读全文
posted @ 2020-07-26 00:11 一身白_粉条 阅读(140) 评论(0) 推荐(0)
内核句柄表
摘要:一、句柄表 内核对象保持在 _object_header+0x18 位置 句柄索引定位对应句柄的计算公式:handle = index / 4 * 8 #include "stdafx.h" #include <windows.h> int main(int argc, char* argv[]) 阅读全文
posted @ 2020-07-26 00:04 一身白_粉条 阅读(236) 评论(0) 推荐(0)
保护模式_段寄存器结构
摘要:CS 代码段寄存器 SS 堆栈段寄存器 DS 数据段寄存器 FS 寄存器 00 只想SEH链表指针 04 线程堆栈顶部(地址最小) 08 线程堆栈底部(地址最大) 0c SubSystemTib 10 FiberData 14 ArbitraryUserPointer 18 FS 段寄存器在内存中的 阅读全文
posted @ 2020-07-24 23:59 一身白_粉条 阅读(143) 评论(0) 推荐(0)