摘要： 基本概念 数据项： 是描述客观事物的符号，是计算机可以直接操作的对象，是能被计算机识别，并能输入给计算机处理的符号集合 数据元素： 是组成数据的、有一定意义的基本单位，在计算机中通常作为整体处理，也被称之为记录 数据项： 一个数据元素可以由若干个数据项组成，数据项是数据元素不可分割的最小单位 数据对 阅读全文

摘要： 对比windowsPE文件与概述 对比windowsPE文件与概述 在windows中可执行文件是pe文件格式，Linux中可执行文件是ELF文件，其文件格式是ELF文件格式，在Linux下的ELF文件除了可执行文件（Excutable File）,可重定位目标文件（RellocatableObje 阅读全文

摘要： 调用门实验 调用门实验 目标: 使得一个3环程序能够读取出0环的数据 步骤分析: 3环程序的cs段寄存器保存的是3环的CPL 3环程序的cs段寄存器不可见部分保存的段描述符,是一个DPL为3的段描述符 需要将3环的cs段寄存器的CPL改成0 , 将一个0环的代码段描述符加载到cs的不可见部分. 最后 阅读全文

摘要： 环境搭建： 打开VS新建工程时会有驱动开发选项，建好项目后选择编译哪个版本的驱动程序 第一个程序 打开VS新建工程时会有驱动开发选项，建好项目后选择编译哪个版本的驱动程序 开始编译 开始编译 驱动程序的编译要求比较高，但实际上并不需要这样，可以将编译的等级降低，则能够直接编译成功 由于是在32位Wi 阅读全文

摘要： CPU的三种模式 1982年，intel推出了80286处理器，第一次提出了保护模式，在保护模式下，段寄存器中存储的不再是段基址，而是段选择子。 真正的段基址存储在描述符高速缓存中，80286处理器访问内存，不需要段寄存器左移加上偏移。 在x86体系的CPU下，支持三种模式 实模式：兼容16位CPU 阅读全文

摘要： 阅读全文

摘要： [TOC] 什么是map文件 什么是 MAP 文件？ 简单地讲， MAP 文件是程序的全局符号、源文件和代码行号信息的唯一的文本表示方法，它可以在任何地方、任何时候使用，不需要有额外的程序进行支持。而且，这是唯一能找出程序崩溃的地方的救星。 在逆向分析的时候IDA可疑获得比较详细的map文件信息，同 阅读全文

摘要： [TOC] 反调试与反反调试 什么是反调试？ 什么是反反调试？ 静态反调试 特点：一般在调试开始时阻拦调试者，调试只需要找到原因后就可以一次性突破 :star: : 调试标志位 内存状态 ( , ): 堆状态 : 内核全局标记 通过 判断是否被调试，当处于被调试状态时 保存的是 ，可以通过修改标志反 阅读全文

摘要： [TOC] 调试与异常 终止处理 终结处理器: 保证程序在执行的过程中，一定会执行 _finally 块的代码 保证无论 __ try 是以何种方式退出的，最终都会执行 __finally 不能够处理异常，通常只能用于执行清理 __ try: 保存的通常是需要进行检测的代码 __ finally: 阅读全文

摘要： WinDbg命令系统 WinDbug三种命令 WinDbug是一个强大的调试器，大部分很多功能都是通过命令来实现的，命令在命令窗口中输入，主要分为以下三类： 标准命令 标准命令提供了调试器的基本功能，大部分都是一个字母，共有130多个命令 类型代表命令 程序控制类 g系列 t系列 p系列 内存查看修 阅读全文