狂客

摘要： 详见附件 jpg改rar 阅读全文

摘要： 详见附件 jpg改zip 阅读全文

摘要： 在ring0堆栈获取ring3堆栈方式 第一种方式 [esp+4] == [esp+参数个数*4+4] 如果这里不相等就需要用第二种方式 [[esp+参数个数*4+8]] 这里面的值就是Ring3的堆栈。不含参数。也就是Ring3的esp+参数个数*4的位置 第二种方式 待定。虚拟机突然崩溃了。郁闷 阅读全文

摘要： 一、创建文件 #pragma INITCODE VOID CreateFileTest() { OBJECT_ATTRIBUTES objectAttributes; IO_STATUS_BLOCK iostatus; HANDLE hfile; UNICODE_STRING logFileUnic 阅读全文

摘要： 一、前言 大量的系统安全问题是由于薄弱的缓冲处理以及由此产生的缓冲区溢出造成的，而薄弱的缓冲区处理常常与字符串操作相关。c/c++语言运行库提供的标准字符串操作函数（strcpy, strcat, sprintf等）不能阻止在超出字符串尾端的写入。 基于Windows XP SP1以及随后的操作系统 阅读全文

摘要： MmIsAddressValid 内存可读 返回真(使用这个家伙最好带上__try __exception) 写入内存直接开启cr0 写就OK了 阅读全文

摘要： 内核模式下判断内存可读可写（下面两个函数是判断ring3的内存。我也搞不懂有啥用） VOID ProbeForRead( IN CONST VOID *Address, IN SIZE_T Length, IN ULONG Alignment ); VOID ProbeForWrite( IN CO 阅读全文

摘要： 标 题: 简单解释Windows如何使用FS段寄存器 作 者: rhettxie 时 间: 2012-12-17,13:32:09 链 接: http://bbs.pediy.com/showthread.php?t=159935 昨天有人问我，为什么进程，线程的很多关键信息可以简单的通过FS寄存器 阅读全文

摘要： 运行 regedit.exeHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services ImagePath \??\G:\驱动教程\018_读出SSDT表当前函数地址\mini_ddk\sys\i386\DDKHelloWorld.sys"Display 阅读全文

摘要： http://124.16.151.186/docs/optimization/VTune(TM) User's Guide/mergedProjects/analyzer_ec/mergedProjects/reference_olh/instruct32_hh/vc267.htm 说明 将通用寄 阅读全文