随笔分类 - 内核,操作系统原理
主要讲解驱动,内核.操作系统原理
摘要:[TOC] # 全局句柄表详解 ## 一丶句柄表 ### 1.1 句柄表介绍 句柄表老生常谈的话题,里面存储了 `进程`和`线程`的对象信息。 通过句柄表也可以遍历出隐藏的进程。也就是说全局句柄表里面存储的并不是`句柄` 而是进程`EPROCESS `和线程 `ETHREAD` ### 1.2 定位
阅读全文
摘要:x86保护模式 10 - 10 - 12分页模式 一丶x86 10 - 10 -12分页 1.简介 之前有说过x86保护模式下的分页.这里为了复习再说一遍,在这里可能为了简单介绍会遗漏些许.所以贴出之前的保护模式分页机制资料 https://www.cnblogs.com/iBinary/p/830
阅读全文
摘要:保护模式第六讲-IDT表-中断门 陷阱门 任务门 一丶IDT表 之前所说 GDT表 中存储了一些段描述符. 比如有调用门 段描述符. 代码段段描述符. 数据段段描述符 TSS段段描述符 GDTR记录的就是GDT表的首地址. GDTL是他这个数组的长度 那么同样. IDT表也是 记录在 IDTR 以及
阅读全文
摘要:保护模式-第五讲-门-调用门 一丶长调用与短调用 ### 1.1 长跳转 与长调用 在上一讲 实现了利用 长跳转 来实现了段间的跳转 jmp far 0x00xx:xxxx地址 并且构造段描述符. 将段描述符放入GDT表中. 构造段选择子来实现了 段间跳转. 但是长跳转只限于 段间跳转. 也就是一个
阅读全文
摘要:保护模式-第4讲-段-段跨越段权限 一丶段描述符 段选择子 等段特权级讲解 1.1 CPU层面的模式 这一点主要是了解下. 我们很多时候都听别人说 ring3 ring0 其实就是 CPU的等级划分. 不同的级别可以执行不同的 特权指令. 比如 IN OUT 等指令.在16位 实模式下就可以直接
阅读全文
摘要:一丶段描述符 1.1 GDT与LDT 1.1.1 段描述符之GDT表 与 LDT表的概述 GDT表 查询inter手册可以得知. 当我们在保护模式下. 进行内存访问的时候 所有的内存访问. 要么通过 全局描述符表(GDT) 要么就通过局部描述符表(LDT) 进行访问的. 而 这些描述符表中.记录的都
阅读全文
摘要:保护模式 -段 -段寄存器结构 一丶保护模式学习 保护模式,主要学习的就是段 与 页 的关系. 学习段的时候先学习段寄存器 何为段 根据Intel 手册第三卷所属. 分段和分页是操作系统提供的机制. 这种机制可以为每个 程序或者任务提供单独的代码. 数据 和栈. 也就是我们 常常所说的进程隔离 保证
阅读全文
摘要:保护模式入门简介 一丶 什么是保护模式 1.1 CPU的三个模式 CPU分为 实模式 保护模式 虚拟8086模式 说一下分别是什么意思 实模式 在之前的DOS年代.我们用的就是实模式. 那时候的汇编可以随便乱写.然后也会影响其它进程.造成系统的不稳定 保护模式 现在我们用的计算.在电脑启动的时候是实
阅读全文
摘要:一丶理论知识,什么是过滤. 过滤就是在不影响上层跟下层的情况下,加入我们的新一层的设备. 当请求数据发送过来的时候.我们可以对这个数据进行操作.这个就是过滤的基本含义. 二丶过滤使用的API.以及简单的功能. APi 功能 NTSTATUS IoAttachDevice( IN PDEVICE_OB
阅读全文
摘要:一丶函数多线程的安全问题 什么是函数多线程安全. 简单来说就是 ,一个函数在调用过程中.还没有返回的时候.再次被其他线程调用了.但是函数执行的结果是可靠的.就可以了说这个函数是安全的. 比如我们在用户层编写程序.用到多线程的时候.都会注意同步问题. 因为这样我们的线程才是安全的. 在内核中其实是一样
阅读全文
摘要:一丶内核中的数据类型 在内核中.程序的编写不能简单的用基本数据类型了. 因为操作系统不同.很有可能造成数据类型的长度不一.而产生重大问题.所以在内核中. 数据类型都一定重定义了. 数据类型 重定义数据类型 Unsigned long ULONG Unsigned char UCHAR Unsigne
阅读全文
摘要:64位内核第二讲,进程保护. 一丶什么是保护. 什么是保护. 比如我们安装了xxx杀毒软件.那么此时你用任务管理器关闭.是关闭不了的.原因是内核已经做了保护. 那么去掉保护的前提就是你要给自己的软件做保护. 比如我们给计算器做保护. 例如下图. 做保护.以前的病毒作者.都是想要退出xxx杀毒软件.
阅读全文
摘要:x64内核HOOK技术之拦截进程.拦截线程.拦截模块 一丶为什么讲解HOOK技术. 在32系统下, 例如我们要HOOK SSDT表,那么直接讲CR0的内存保护属性去掉. 直接讲表的地址修改即可. 但是在64位系统下,不可以这样操作了. 第一是因为 SSDT表加密了. 第二是 SSDT表你就算解密了.
阅读全文
摘要:64位内核第一讲,和32位内核的区别 双击调试配置请查看 连接: https://www.cnblogs.com/aliflycoris/p/5877323.html 一丶编译的区别. 首先,还是使用WDK7.1.7600编写. 但是编译的时候,要使用x64来编译. 其代码框架不变. 1.驱动加载
阅读全文
摘要:内核知识第12讲,SSDT表.以用户模式到系统模式的两种方式. 一丶IDT解析. 我们知道.IDT表中存放着各种中断信息.比如当我们调用int 3的时候,则会调用IDT表中的第三项来进行调用. 而函数地址则是操作系统给的. 因为中断是CPU和操作系统通信的一种方式. 查看IDTR (IDT表)第三项
阅读全文
摘要:内核知识第十一讲,门,以及中断和中断异常. 一丶TSS和TR寄存器. 首先,CUP在执行代码的时候.是按照任务执行的 每个任务有一个任务状态段TSS 用于保护任务的有关信息.在任务内变换特权级和任务切换的时候.要用到这些信息. 这个就是TSS任务状态段. 而在windows 80386中.有两种系统
阅读全文
摘要:内核知识第十讲,内核结构体简介.以及自己实现内存读写功能. 前言: 不知道大家学习逆向技术的时候.有没有听说过什么驱动过保护. 什么驱动读写xxx的.而今天就讲解一下其原理. PS: 讲解原理还有简单的Demo. 请大家学习逆向技术.并做好信息安全. 而不是要求大家去做黑产. PS: 只讲今天表中有
阅读全文
摘要:内核知识第九讲,32位下的分页管理,36位下的分页管理.以及64位下的分页管理 一丶熟悉WinDbg的常见命令. dd 虚拟地址 显示内存. !dd 加上!, ! dd 物理地址 专门用于显示物理地址的. !PTE 虚拟地址: 微软给你计算出PDE,和PTE的虚拟地址的位置.(自动查表并且进行操作)
阅读全文
摘要:内核知识第八讲,PDE,PTE,页目录表,页表的内存管理 一丶查看GDT表. 我们通过WinDbg + 虚拟机可以进行双机调试.调试一下看下GDT表 我们知道,GDT表中.存储的是存储段信息. 保存了一系列的段和内存的属性. 但是微软并没有使用. 我们可以通过ring3的段寄存器. 当作GDT表的下
阅读全文
浙公网安备 33010602011771号