摘要：调用门实验 调用门实验 目标: 使得一个3环程序能够读取出0环的数据 步骤分析: 3环程序的cs段寄存器保存的是3环的CPL 3环程序的cs段寄存器不可见部分保存的段描述符,是一个DPL为3的段描述符 需要将3环的cs段寄存器的CPL改成0 , 将一个0环的代码段描述符加载到cs的不可见部分. 最后 阅读全文

摘要：环境搭建： 打开VS新建工程时会有驱动开发选项，建好项目后选择编译哪个版本的驱动程序 第一个程序 打开VS新建工程时会有驱动开发选项，建好项目后选择编译哪个版本的驱动程序 开始编译 开始编译 驱动程序的编译要求比较高，但实际上并不需要这样，可以将编译的等级降低，则能够直接编译成功 由于是在32位Wi 阅读全文

摘要：CPU的三种模式 1982年，intel推出了80286处理器，第一次提出了保护模式，在保护模式下，段寄存器中存储的不再是段基址，而是段选择子。 真正的段基址存储在描述符高速缓存中，80286处理器访问内存，不需要段寄存器左移加上偏移。 在x86体系的CPU下，支持三种模式 实模式：兼容16位CPU 阅读全文

摘要： 阅读全文

摘要：[TOC] 什么是map文件 什么是 MAP 文件？ 简单地讲， MAP 文件是程序的全局符号、源文件和代码行号信息的唯一的文本表示方法，它可以在任何地方、任何时候使用，不需要有额外的程序进行支持。而且，这是唯一能找出程序崩溃的地方的救星。 在逆向分析的时候IDA可疑获得比较详细的map文件信息，同 阅读全文

摘要：[TOC] 反调试与反反调试 什么是反调试？ 什么是反反调试？ 静态反调试 特点：一般在调试开始时阻拦调试者，调试只需要找到原因后就可以一次性突破 :star: : 调试标志位 内存状态 ( , ): 堆状态 : 内核全局标记 通过 判断是否被调试，当处于被调试状态时 保存的是 ，可以通过修改标志反 阅读全文

摘要：[TOC] 调试与异常 终止处理 终结处理器: 保证程序在执行的过程中，一定会执行 _finally 块的代码 保证无论 __ try 是以何种方式退出的，最终都会执行 __finally 不能够处理异常，通常只能用于执行清理 __ try: 保存的通常是需要进行检测的代码 __ finally: 阅读全文

摘要：WinDbg命令系统 WinDbug三种命令 WinDbug是一个强大的调试器，大部分很多功能都是通过命令来实现的，命令在命令窗口中输入，主要分为以下三类： 标准命令 标准命令提供了调试器的基本功能，大部分都是一个字母，共有130多个命令 类型代表命令 程序控制类 g系列 t系列 p系列 内存查看修 阅读全文

摘要：建立调试会话 用户层调试会话的建立 直接创建进程并调试 附加到已经打开的进程 侵入式附加：接管正在运行的进程，可以进行调试 非侵入式附加：只能读取进程信息，不能接收目标进程的调试事件 用户层调试会话的建立 直接创建进程并调试 附加到已经打开的进程 侵入式附加：接管正在运行的进程，可以进行调试 非侵入 阅读全文

摘要：软件漏洞名词介绍 Vulnerability: 中文直译为漏洞 Exploit:中文直译为漏洞利用，他是能够利用或触发漏洞的一段代码（或指导性思路），也就是漏洞的利用方法。Exploit 代码/方法一般执行在攻击者机器上，或执行在权限受限的环境中。 ShellCode:中文直译为“壳代码”，他是通过 阅读全文