随笔分类 -  内核编程

先空着吧,过段时间再来描述,膜拜下linxer...
[note]RegMon驱动分析笔记(一)
摘要:///////////////////////////////////////////RegMon学习与分析//////////////////////////////////////////////////////////////////////////////////1.注册表回调机制///////////////////////////////////////应用程序通过调用NtNotify... 阅读全文
posted @ 2010-11-12 22:37 Tbit 阅读(1353) 评论(0) 推荐(0)
[note]贴个能获取Csrss.exe PID的函数
摘要:[代码] 阅读全文
posted @ 2010-11-08 20:39 Tbit 阅读(625) 评论(0) 推荐(0)
[1.1]MBR感染
摘要:MBR感染,是DOS时代的事情了..那个时代的Dos机需要一个1.44MB大小的软盘来作为启动盘,于是MBR病毒就会大肆的感染MBR区,也感染了软盘的MBR...呵呵..现在的windows不需要通过软盘来启动了..但是现在的MBR感染应该不叫MBR感染了..叫改写了MBR区..windows下对MBR改写的可以参考下charme同学的<<MBR另类感染技术>>.下面贴一段... 阅读全文
posted @ 2010-10-30 16:47 Tbit 阅读(1232) 评论(0) 推荐(0)
[1.0]剖析MBR
摘要:系统启动过程主要由一下几步组成(以硬盘启动为例): 1. 开机 :-) 2. BIOS 加电自检 ( Power On Self Test -- POST ) 内存地址为 0ffff:0000 3. 将硬盘第一个扇区 (0头0道1扇区, 也就是Boot Sector) 读入内存地址 0000:7c00 处. 4. 检查 (WORD) 0000:7dfe 是否等于 0xaa55, 若不等于 则转去尝... 阅读全文
posted @ 2010-10-28 16:29 Tbit 阅读(634) 评论(0) 推荐(0)
[0.0]Windows启动过程概述
摘要:1.x86和x64引导过程中所涉及的组件1--MBR:     读入和加载分区的引导扇区;2--引导扇区:   读入根目录,以加载ntldr;3--NTLDR:    读入Boot.ini,提示引导菜单,加载Ntoskrnl.exe,Bootvid.dll,Hall.dll和引导启动的         设备驱动程序.如果引导的是一个32位系统,则切换到32位保护模式;4--Ntdetecct:  ... 阅读全文
posted @ 2010-10-28 11:35 Tbit 阅读(552) 评论(0) 推荐(0)
从MBR Rootkit 谈起...
摘要:今天复习 windows internals 4th 的时候,看到chatper5,关于windows启动和停机的..突然想把这些开机启动的Rootkit技术,好好梳理一遍,下面列个目录吧,后续内容慢慢研究补上.[0.0]----Windows启动过程[1.0]----剖析MBR[2.0]----调试NTLDR[3.0]----分析Stoned Bootkit[4.0]----Detect and... 阅读全文
posted @ 2010-10-27 19:58 Tbit 阅读(1100) 评论(0) 推荐(0)
[note]chapter3--系统机制(IDT,GDT,SSDT,shadow SSDT)
摘要:这一章讲的有点多,与很多RK技术相关的也不少.具体来分析的话,想详细的剖析下以下知识点1.系统机制:@ IDT@ GDT@ SSDT@ Shadow SSDT@ 增加一个系统服务分发上面这些,包括一些HOOK技术,可能都显得很古老了,但是真正剖析和理解清楚,还是需要下一番功夫的.2.windows对象管理详解3.WinObj的设计与实现4.句柄表剖析.@@ IDT 检测关于IDT_Hook技术可以... 阅读全文
posted @ 2010-10-13 11:48 Tbit 阅读(714) 评论(0) 推荐(0)
[note]chapter2--系统结构
摘要:这一章讲述的比较宏观,没太多细节可以分析的.需要注意的几个地方.1.Windows子系统Csrss.exe包含对下列的支持:@ 控制台窗口@ 创建或删除进程和线程@ 对16位虚拟DOS机进程的一部分支持.关于Csrss.exe以后再详细剖析了.附上盟主的一篇文章<<详解进程创建中与csrss的通信流程>>Win32k.sys包含:@ 窗口管理器@ 图形设备接口关于Win32... 阅读全文
posted @ 2010-10-13 11:37 Tbit 阅读(242) 评论(0) 推荐(0)
[note]枚举进程之二(句柄表分析篇)
摘要:继续接着上篇,这一篇说下句柄表,关于handletable,其实也已经相当科普了~基础知识还是学习下吧.继续引用下V大的思路.3.通过pspCidTable获得进程表c4.通过handletablelisthead获得进程表d5.通过csrss的handletable用2种方法枚举获得进程表e和f6.通过扫描当前进程的handletable获得进程表g在解释如何通过这些思路枚举进程的时候,我们还是... 阅读全文
posted @ 2010-09-18 03:23 Tbit 阅读(1653) 评论(0) 推荐(0)
[note]注册表之HIVE
摘要:1.HIVE结构 首先,要明白的是注册表是由多个hive文件组成. 而一个hive是由许多bin组成,一个bin是由很多cell组成. 而cell可以有好几种类型.比如keycell(cm_key_node)valuecell(CM_KEY_VALUE)subbkey-listcell,value-listcell等 当新的数据要扩张一个hive时,总是按照block的粒度(4kb)来增加,一个h... 阅读全文
posted @ 2010-08-08 01:51 Tbit 阅读(1537) 评论(0) 推荐(0)
[note]KTHREAD结构相关
摘要:在用户模式下,段寄存器FS指向当前线程的TEB,所以FS:[0X18]就是指针Self,其内容就是TEB的起点.在内核模式下,FS指向的是KPCR(Kernel's Processor Control Region)结构,而mov reg,FS:[124h]   //reg可表示eax,edx,ebx,.....这样就能获得当前线程的指针(KTHREAD结构体)现在看看相关获取KTHREAD指针的... 阅读全文
posted @ 2010-05-12 18:17 Tbit 阅读(1360) 评论(0) 推荐(0)
[zz]Windows内核技术的精华站点
摘要:推荐的有关驱动的网站http://www.osronline.com,技术含量很高的Windows驱动开发站点,该站点的list基本上覆盖了所有Windows驱动开发的常见问题,强烈推荐; http://www.microsoft.com/whdc,微软的驱动开发资源主页,可以获取很多官方资料; http://www.wd-3.com/,该站点收集了一些比较好的Windows驱动开发方面的文章和示... 阅读全文
posted @ 2010-05-12 00:02 Tbit 阅读(422) 评论(0) 推荐(0)
[zz]深入Native应用程序
摘要:深入Native应用程序版权所有1998MarkRussinovich翻译:MJ0011最后更新:1998年2月8日导言如果你对WindowsNt结构有一定的了解,你可能会知道,Win32应用程序所使用的API,并非是"真正"的NTAPI。POSIX,OS/2和Win32,这些WindowsNT操作系统环境,使用他们自己的API同他们的客户应用程序进行交流,但却使用NT"native"API同Wi... 阅读全文
posted @ 2010-05-11 10:37 Tbit 阅读(833) 评论(1) 推荐(0)