摘要：基本概念本文档详细说明了Microsoft? Windows?操作系统家族下的可执行文件（映像）和目标文件的结构。这些文件分别被称为可移植可执行（PE）文件和通用目标文件格式（COFF）文件。“可移植可执行”这个名称道出了这种格式与平台体系结构无关的事实。下表描述了贯穿于本规范中的一些概念：名称描述属性证书用来将可校验的声明与映像关联起来的证书。有许多不同的可校验声明可以与文件关联，最常用的一种就是软件制造商用来指明映像的消息摘要是什么的声明。消息摘要与校验和类似，但想要伪造它却极其困难。因此对一个文件进行修改并保持它的消息摘要与原始文件一致是非常困难的。正如制造商所做的那样，可以使用公钥或私 阅读全文

摘要：指令首字母快速索引：ABCDEFHIJLMNOPRSTUVWX指令名称指令形式机器码标志位(设置/测试)说 明应用举例ES:ES:26ES段跨越前缀CS:CS:2ECS段跨越前缀SS:SS:36SS段跨越前缀DS:DS:3EDS段跨越前缀FS:FS:64FS段跨越前缀GS:GS:65GS段跨越前缀Opsize:Opsize:66操作数类型跨越前缀Address:Address:67地址类型跨越前缀点击这里：查看下表中所使用符号的说明指令名称指令形式机器码标志位(设置/测试)说 明应用举例AAAAAA37设置 AF CF加法后的ASCII码调整ALAAAAADAADD5 0A 或 D... 阅读全文

摘要：为了支持多任务，80386不仅要有效地实现任务隔离，而且还要有效地控制各任务的输入/输出，避免输入/输出冲突。一. 输入/输出保护80386采用I/O特权级IPOL和I/O许可位图的方法来控制输入/输出，实现输入/输出保护。1.I/O敏感指令输入输出特权级(I/O Privilege Level)规定了可以执行所有与I/O相关的指令和访问I/O空间中所有地址的最外层特权级。IOPL的值在如下图所示的标志寄存器中。标 志寄存器BIT31—BIT18BIT17BIT16BIT15BIT14BIT13—BIT12BIT11BIT10BIT9BIT8BIT7BIT6BIT5BIT4BIT3BIT2B. 阅读全文

摘要：hook不同的函数,需要定义相对应的函数原型,本例原型为NTOpenProcess123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109#include <ntdef.h>LONG preAddr,cur 阅读全文

摘要：引子WRK 是微软于 2006 年针对教育和学术界开放的 Windows 内核的部分源码，WRK（Windows Research Kernel）也就是 Windows 研究内核，在 WRK 中不仅仅只提供了 Windows 内核模块的部分代码，其还提供了编译工具，也就是通过这个编译工具，你可以将你的 WRK 编译成一个 EXE 文件，也就是内核可执行模块，然后你可以利用这个 EXE 文件来取代操作系统本身的内核，这样的话，下次开机的时候操作系统所加载的内核就是您编译的那个 EXE 了。工具软件Intel x86 CPU；VMware 6.5；Windows Server 2003 SP1（用 阅读全文

摘要：“怎样在不经过注册表的情况下加载驱动”，这是很多人常常问到的一个问题。现在，我们一起来分析WINDOWS操作系统是怎样加载驱动的，既而找到一种实现加载驱动而不通过注册表的办法。 我们必须注意到即使我们在对系统内核进行溢出的过程中，你仍然无法让其加载任何驱动因为几乎所有的防毒措施都会监控WINDOWS系统内核调用的API（这些API就是让系统写入特殊注册地址的） 加载驱动的第一种方法通常为： WIN NT利用函数ZwLoadDriver实现加载驱动。 它的描述如下：NTSTATUS ZwLoadDriver (IN PUNICODE_STRING DriverServiceName);驱动服务名 阅读全文