摘要:
《Windows核心编程》目录索引 串口过滤 键盘过滤 阅读全文
摘要:
这里整理了《Windows内核分析》专题的各篇博文,方便查找。 二进制中的数学换算 常用汇编指令集合 驱动内核函数汇总 windbg 常调用指令 滴水视频汇总 PE文件 系统调用 APC 进程与线程 等待对象 异常(1) 异常(2) 编译器对于SEH异常的拓展 软件调试 消息机制 内存管理 PE解析 阅读全文
摘要:
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html 内存管理 1. 线性地址管理 1)VadRoot _EPROCESS+0x11c 每个进程的_EPROCESS+0x11c位置,都存在一个二叉树,VadRoot,之前 阅读全文
摘要:
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html 模块、进程、线程回调函数的逆向 关于这些回调函数的用法,网上很多,msdn也有定义,所以就不过多写代码; 我们简单逆向一下,了解其细节与流程,等到使用的时候,再来详细 阅读全文
摘要:
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html EPT的开启与处理 1. EPT的概念 EPT(Extend Page Table)扩展页表机制,可以让Guest机使用一份自己构建的页表 GPA(Guest-Phy 阅读全文
摘要:
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html VT MSR、CR、 Exception、#PF 1. MSR寄存器读写拦截 ① 开启虚拟机控制字段:VM-execution control[28] 置为1时,则开 阅读全文
摘要:
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html VT MTF VM-Exit MTF全程是 Monitor Trap flag,其在 VM-execution control字段的第27位; 我们可以理解为其是一个 阅读全文
摘要:
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html VT技术对于除零异常的拦截与派发到3号中断 1. 异常的拦截与处理 ①异常的拦截 VMCS域中有一个32位的Exception Bitmap域,bit 13表示要拦截 阅读全文
摘要:
SYSRET指令与SYSCALL指令是一对。它从OS System-call 例程返回到三环的用户代码。从RCX中加载IRP,之后从R11中加载RLFAGS。如果是64位操作数的大小,SYSRET仍然保持在64位模式;否则,它进入兼容模式,只有低32位的寄存器会被加载。 SYSRET加载CS和SS选 阅读全文
摘要:
Python进程池中实现进度条显示 今天使用进程池爬虫,爬的网页太多,想通过进度条来显示出来,但是发现并没有想象的那么简单。 Python中多进程使用Queue来数据共享,进程池使用Manager().Queue()来实现数据共享,如果想使用进程回调函数,则进程函数一定要返回参数。 最后在githu 阅读全文
摘要:
wchar,char,string,wstring互转 std::wstring temp = std::wstring(me32.szModule); // wchar -> string impBlock.dllName = std::string(temp.begin(), temp.end( 阅读全文
摘要:
《Windows内核安全与驱动开发》阅读笔记 -- 索引目录 键盘过滤 1.如何绑定需要过滤的设备 键盘在底层存在一个驱动,即 \Driver\kbdclass,我们通过ObReferenceObjectByName这个非公开函数来获取这个驱动指针, 然后遍历该驱动下面的设备对象,见到一个绑定一个, 阅读全文