摘要：文章来源于对 https://rayanfam.com/topics/reversing-windows-internals-part1/ 的理解。 1. Handle Table 结构体如下所示(Win10, x64, Intel) kd> dt nt!_HANDLE_TABLE +0x000 N 阅读全文

摘要：Win7 ，7601 sp1。内核 NT 6.1 此函数的参数只有一个(Y)，即要解密的指针。 首先调用 ZwQueryInformationProcess（-1，0x24，&Buffer，sizeof(Buffer)，4），函数返回一个4字节的值，若返回值 NTStatus 不为负数，则取 Buf 阅读全文

摘要：算是分析的第一个漏洞，参考了网上的很多分析，从漏洞触发往前进行逆向分析。动态调试使用 Win xp pro SP3 什么是 UAF？ Use-After-Free ，即指针向一块内存，但是经过某些方式（或代码逻辑错误）使程序认为该内存是正在使用的（实际上已被释放），再次利用该内存时会发生错误。 采用 阅读全文

摘要：Win 10 1909( 18363.1198) ，x32 dbg， NoSEH.exe 借助书上的代码，自己修改了一下与现在系统相关实现的差异，下面是对函数伪代码的实现 //最好放到 VS 中查看#include<winnt.h> #include<windef.h> #include<ntdef 阅读全文

摘要：CFG防护机制的简要分析 - 先知社区 (aliyun.com) Exploring Control Flow Guard in Windows 10 (trendmicro.com) 本文主要来自上面两篇文章，自己做一个记录罢了。 CFG 通过在间接跳转(Indirect Call)前插入校验代码 阅读全文