摘要:
介绍: SSDT DPC Hook 其实是建立在SSDT Hook的基础上的,建立一个定时器,然后设置触发时间,反复去 SSDT Hook,这样会使直接进行SSDT UnHook的无法恢复,在学习过程中,算不上是一种全新的Hook,算是SSDT Hook 的一种设计版。 (一) ⚪建立定时器,定时回 阅读全文
posted @ 2020-04-25 10:35
屁颠屁颠的小奶孩
阅读(194)
评论(0)
推荐(0)
摘要:
介绍: SSDT InlineHook是在SSDT Hook 基础上来进一步Hook的,SSDTHook 是直接将SSDT表中的 Nt*函数替换成Fake函数,而SSDT Inline Hook是将原函数代码的前五个字节改变为 E9 _ _ _ _ ,后面跟的是Offset,也就是我们Fake函数的 阅读全文
posted @ 2020-04-24 18:31
屁颠屁颠的小奶孩
阅读(305)
评论(0)
推荐(0)
摘要:
c++面试重点 阅读全文
posted @ 2020-03-30 20:40
屁颠屁颠的小奶孩
阅读(8)
评论(0)
推荐(0)
摘要:
最近在学习Ring0层Hook的一些知识点,很久就写完SSDTHook的代码了,但是一直没有整理成笔记,最近有时间也就整理整理。 介绍: SSDTHook 实质是利用Ntoskrnl.exe 中全局导出的SSDT来进行Hook,SSDT(SystemServiceDescriptorTable,系统 阅读全文
posted @ 2020-03-30 20:27
屁颠屁颠的小奶孩
阅读(394)
评论(0)
推荐(0)
摘要:
在你要理解Zw和Nt 系列API时,你首先要知道一点,那就是系统调用。什么是系统调用呢? 系统调用:操作系统为应用程序提供的可被调用的一组函数,也叫“System Call”。 从软件角度来看,这些系统调用都是操作系统为软件提供的服务,所以也称“系统服务”,也可以说两个名词是同名词。 系统调用所提供 阅读全文
posted @ 2020-03-30 21:57
屁颠屁颠的小奶孩
阅读(1201)
评论(0)
推荐(0)
摘要:
映射内存的可执行文件和dll 当一个线程调用CreateProcess的时候,系统会执行以下步骤: 系统会先确定CreateProcess所指定的可执行文件的所在位置。如果找不到文件,那么CreateProcess会返回FALSE。、 系统创建一个内核对象EProcess 系统为新进程创建一个私有的 阅读全文
posted @ 2020-03-24 15:33
屁颠屁颠的小奶孩
阅读(636)
评论(0)
推荐(0)
摘要:
消息 消息概念: 消息就是在事件驱动模式下,事件发布函数和具体功能执行函数(或者代码段)之间的调用协议,调用协议的执行表现为窗口事件发布函数跟具体功能执行函数(或者代码段)之间的选择关系。 在Windows系统下,对计算机外设的操作,例如当用户敲击键盘键、点击鼠标、热插拔USB盘等,系统都认为外设发 阅读全文
posted @ 2020-03-19 14:42
屁颠屁颠的小奶孩
阅读(343)
评论(0)
推荐(0)
摘要:
IOCP出现的原因: windows系统的设计目标就是设计一个出色的,安全健壮的系统。为各种程序提供服务,这时候就出现了两种模型: 1)串行模型:一个线程等待一个客户发出的请求,当请求到来的时候,线程唤醒然后对请求处理。 2)并行模型:一个线程等待一个客户发生的请求,当请求到来的时候,创建新的线程去 阅读全文
posted @ 2020-03-19 00:06
屁颠屁颠的小奶孩
阅读(638)
评论(0)
推荐(0)
摘要:
过程分为四个阶段: 预处理阶段····>编译阶段····>汇编阶段····>链接阶段 1)预处理阶段:对源代码文件中的文件包含关系、预编译语句(宏定义)进行分析和替换,生成预编译文件。 ····删除所有的#define,展开所有的宏定义 ····处理所有的条件预编译语句#if、#else、#end 阅读全文
posted @ 2020-03-10 20:01
屁颠屁颠的小奶孩
阅读(172)
评论(0)
推荐(0)
摘要:
进程关闭过程: 1)关闭进程内的所有线程(终止遗留线程) 2)释放所有的用户对象和GDI对象,关闭所有内核对象(引用计数-1,当减为0的时候销毁内核对象) 3)进程的推出代码从STILL_ACTIVE变为传给ExitProcess或TerminateProcess的代码 4)进程的内核对象变为已触发 阅读全文
posted @ 2020-03-10 11:24
屁颠屁颠的小奶孩
阅读(502)
评论(0)
推荐(0)
浙公网安备 33010602011771号