摘要:
何谓可分页和非分页内存 1)默认情况下,内核加载器会加载所有的代码部分和全局数据到非分页内存中。而且,加载器是一次加载整个驱动的可执行文件,包括相关的DLL。加载后,内核加载器关闭驱动程序文件,甚至你可以删除当前正在执行的驱动文件。 但是,你可以告诉加载器你希望驱动的哪部分是可分页,所谓可分页,就是 阅读全文
posted @ 2016-10-18 17:10
鑫鑫1
阅读(2535)
评论(0)
推荐(0)
摘要:
使用Git上传当地项目到http://git.oschina.net 使用Git上传当地项目到http://git.oschina.net 使用Git上传本地项目到http://git.oschina.net 本文要解决的问题: 已有http://git.oschina.net的帐号,别人将你加入到 阅读全文
posted @ 2016-07-16 03:26
鑫鑫1
阅读(189)
评论(0)
推荐(0)
摘要:
debug版本 esp 栈顶指针 ebp 存放堆栈指针 空程序:int main(){00411360 push ebp ;压入ebp00411361 mov ebp,esp ;ebp = esp,保留esp,待函数调用完再恢复,因为函数调用中肯定会用到esp.00411363 sub esp,0C 阅读全文
posted @ 2016-06-25 02:27
鑫鑫1
阅读(409)
评论(0)
推荐(0)
摘要:
内核对象是指windows内核实现的一组更为基础的对象。 1.内核对象的数据结构只能被内核访问,因此应用程序无法在内存中找到这些数据结构并直接改变它们的内容 2.当调用一个用于创建内核对象的函数时,该函数就返回一个用于标识该对象的句柄 _OBJECT_DIRECTORY 内核对象散列表结构 _OBJ 阅读全文
posted @ 2016-06-11 17:44
鑫鑫1
阅读(293)
评论(0)
推荐(0)
摘要:
在R3下获取一个进程加载的相关模块儿还是比较简单的,直接通过ToolHelp32库API就能够获取到进程关联的模块儿了,但是既然已经在R0下混了再去使用R3层的东西就没什么意义了,所以这里小悠在这里将会一部一部的介绍如何在R0下通过EPROCESS结构获取到进程加载的模块. 首先这里我们先介绍一下我 阅读全文
posted @ 2016-06-02 04:00
鑫鑫1
阅读(3819)
评论(0)
推荐(0)
摘要:
CreateProcesssA 函数工作流程分析: 用IDA打开CreateProcessA跟进,调用流程:call kernel32!CreateProcesssAcall kernel32!CreateProcessInternalAcall kernel32!CreateProcessInte 阅读全文
posted @ 2016-04-24 16:14
鑫鑫1
阅读(2250)
评论(0)
推荐(0)
摘要:
用IDA, OD分析kernel32.dll的API调用流程,知其所以然。 1.用CreateFileW,CreateFileA函数来分析 CreateFileA 整个流程: kernel32.dll!CreateFileA流程 kernel32.dll!Basep8BitStringToDynam 阅读全文
posted @ 2016-04-19 16:16
鑫鑫1
阅读(3597)
评论(0)
推荐(0)
摘要:
OpenProcess-->ntdll!NtOpenProcess-->ntdll!zwOpenProcess-->ntdll!KiFastSystemCall() ↓mov edx, esp ↓sysenter 用户层 ↓ 内核层 nt!KiFastCallEntry() ↙ ↘ nt!zwope 阅读全文
posted @ 2016-04-19 16:11
鑫鑫1
阅读(1461)
评论(0)
推荐(0)
摘要:
本文讲 用inline hook的方式修改NtOpenKey函数的一个例子 hook 计算机里面一般是指 挂钩某函数,也可以是替换掉原来的函数。 inline hook 是直接在以前的函数替里面修改指令,用一个跳转或者其他指令来达到挂钩的目的。 这是相对普通的hook来说,因为普通的hook只是修改 阅读全文
posted @ 2016-01-22 15:58
鑫鑫1
阅读(964)
评论(0)
推荐(0)
浙公网安备 33010602011771号