Anzi

摘要： 一、概念 ntoskrnl.exe（Windows 启动内核）是用于基于 NT 的 Microsoft 操作系统的启动过程中的重要组件。它还负责一系列系统服务，例如进程和内存管理、安全管理、对象管理、硬件虚拟化等。它包含几个子系统：缓存管理器、I/O 管理器、配置管理器、本地过程调用、内存管理器、进 阅读全文

摘要： 一、窗口程序 窗口程序也就是非终端程序，带有图形化界面窗口的程序。 这类程序的起始函数一般为WinMain函数，start函数中会调用该函数。 关于WinMain函数的定义如下： int WINAPI WinMain( _In_ HINSTANCE hInstance, _In_opt_ HINST 阅读全文

摘要： 一、概念 文件映射：将磁盘上的文件映射入内存，所谓映射就是先在内存中分配一块内存预备使用，在使用的时候再将文件加载入内存。 内存共享：在进程A中开辟一块内存，然后将这块内存映射到进程B中（进程B实际也会开辟一块内存空间），进程A与B访问它们物理上各自开辟的空间，但是逻辑上是访问同一块内存。 二、文件 阅读全文

摘要： 一、Windows特殊程序 bootim Windows系统目录下的bootim程序起源于Windows 8，负责显示启动菜单。 svchost SVCHOST.EXE位于Windows\system32系统文件夹，其文件描述为“Generic Host Process for Win32 Serv 阅读全文

摘要： 我们通过GetProcAddress函数去获取Nt函数，哪怕函数名hash化，还是很容易在动态调试时被发现调用了哪个函数，并且杀软都对ntdll库整体hook了。 决定自己手动实现一下通过syscall调用Nt函数。 Nt函数都是由ntdll.dll导出的，也就是说我们需要的汇编指令都在ntdll库 阅读全文

摘要： 一、关于apache的配置文件 apache的配置文件/etc/httpd/conf/httpd.conf或/etc/apache2/httpd.conf，就是httpd.conf文件。 1.配置httpd.conf取消对上传目录的php执行权限: <Directory "/var/www/html 阅读全文

摘要： 查看docker-compose版本 docker-compose version 列出本地主机上的镜像 docker images 运行镜像 docker run --privileged docker run -it -p 8080:80 117c88e99aae /bin/bash docke 阅读全文

摘要： 一、概念 输入法： 输入法 (IME) 是一种可让用户输入文本的用户控件。Android 提供了一种可扩展的输入法框架。借助该框架，应用可以为用户提供备选输入法，例如屏幕键盘，甚至语音输入。安装所需的 IME 后，用户可以从系统设置中选择要使用的 IME，并在整个系统中使用该 IME；同时只能启用一 阅读全文

摘要： 一、概述 IAT hook，就是我们要hook的目标函数在导入表IT中，通过修改目标函数所在IAT中项的地址为我们自定义函数的地址，从而实现函数hook。 在这里我们要hook的目标是一个远程进程，采用之前博客《Windows上的进程注入》一文中用到的反射式dll注入这一技术，在其中添加额外的IAT 阅读全文

摘要： 一、概念 进程注入，是在正在运行的进程中注入自己代码并运行的一种方法。 我个人的理解，进程注入可以分为线程注入、dll注入、以及PE注入。 线程注入，也是最简单的进程注入，通过创建远程线程的方式在目标进程创建一个线程，执行自己的任务。 dll注入，通过编写一个自己的dll库文件，并把它注入到目标进程 阅读全文