摘要： 0x00 进程是运行在操作系统上的人员，操作系统是软件的管理机构负责分配软件的资源。在进程未被启动时，系统不为其分配资源。 运行中的进程在系统中所拥有的资源 • 虚拟地址空间 • 全局唯一的PID • 可执行映像，可执行文件在内存中的表示 • 一个或多个线程 • 在内核空间中的EPROCESS(进程 阅读全文

摘要： sniffer 实现 稍稍回顾 前几天了解到流量的实现实际上还是通过通用的协议栈进行解析，将数据包发送接收后，计算机进行了按规定的解析。如Tcp/ip协议栈，就是在将数据头一步步的解开，最后解析到数据再发送到应用层。其原理实际上和pe文件解析类似。 前几天虽然了解了原理，也使用了原始套接字进行了数据 阅读全文

摘要： 内核模式和用户模式 简单的说就是操作系统将一块块内存中的结构体设置了flags检查，内核模式下可以全局访问，用户模式下只能访问用户内容。在windows中常习惯称为ring 0和ring 3。 ring 3访问ring 0内容 既然做了权限检查，而ring 3进程肯定是会要访问ring 0内容，毕竟 阅读全文

摘要： 什么是进程线程 进程线性是在多任务操作系统下对程序(运行中)更专业的名称。实际上，现计算机上运行的程序是由一个进程多个线程组成运行。什么是组成？往后看。 任务 从操作系统的角度来说，每个进程又称为一个任务。在CPU手册中，任务 又指代线程，比如TSS(任务转态段)就是使用"任务"指代线程。是不是感觉 阅读全文