摘要:《Windows核心编程》目录索引 串口过滤 键盘过滤 阅读全文
posted @ 2019-12-06 09:29 OneTrainee 阅读(539) 评论(0) 推荐(0) 编辑
摘要:这里整理了《Windows内核分析》专题的各篇博文,方便查找。 二进制中的数学换算 常用汇编指令集合 驱动内核函数汇总 windbg 常调用指令 滴水视频汇总 PE文件 系统调用 APC 进程与线程 等待对象 异常(1) 异常(2) 编译器对于SEH异常的拓展 软件调试 消息机制 内存管理 PE解析 阅读全文
posted @ 2019-10-19 23:59 OneTrainee 阅读(4079) 评论(0) 推荐(1) 编辑
摘要:Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html 模块、进程、线程回调函数的逆向 关于这些回调函数的用法,网上很多,msdn也有定义,所以就不过多写代码; 我们简单逆向一下,了解其细节与流程,等到使用的时候,再来详细 阅读全文
posted @ 2020-09-02 19:33 OneTrainee 阅读(318) 评论(0) 推荐(0) 编辑
摘要:Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html EPT的开启与处理 1. EPT的概念 EPT(Extend Page Table)扩展页表机制,可以让Guest机使用一份自己构建的页表 GPA(Guest-Phy 阅读全文
posted @ 2020-09-02 14:29 OneTrainee 阅读(303) 评论(0) 推荐(0) 编辑
摘要:Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html VT MSR、CR、 Exception、#PF 1. MSR寄存器读写拦截 ① 开启虚拟机控制字段:VM-execution control[28] 置为1时,则开 阅读全文
posted @ 2020-08-31 15:59 OneTrainee 阅读(226) 评论(0) 推荐(0) 编辑
摘要:Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html VT MTF VM-Exit MTF全程是 Monitor Trap flag,其在 VM-execution control字段的第27位; 我们可以理解为其是一个 阅读全文
posted @ 2020-08-30 16:13 OneTrainee 阅读(305) 评论(0) 推荐(0) 编辑
摘要:Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html VT技术对于除零异常的拦截与派发到3号中断 1. 异常的拦截与处理 ①异常的拦截 VMCS域中有一个32位的Exception Bitmap域,bit 13表示要拦截 阅读全文
posted @ 2020-08-29 16:52 OneTrainee 阅读(283) 评论(0) 推荐(0) 编辑
摘要:SYSRET指令与SYSCALL指令是一对。它从OS System-call 例程返回到三环的用户代码。从RCX中加载IRP,之后从R11中加载RLFAGS。如果是64位操作数的大小,SYSRET仍然保持在64位模式;否则,它进入兼容模式,只有低32位的寄存器会被加载。 SYSRET加载CS和SS选 阅读全文
posted @ 2020-08-16 15:22 OneTrainee 阅读(153) 评论(0) 推荐(0) 编辑
摘要:Python进程池中实现进度条显示 今天使用进程池爬虫,爬的网页太多,想通过进度条来显示出来,但是发现并没有想象的那么简单。 Python中多进程使用Queue来数据共享,进程池使用Manager().Queue()来实现数据共享,如果想使用进程回调函数,则进程函数一定要返回参数。 最后在githu 阅读全文
posted @ 2020-07-20 20:23 OneTrainee 阅读(913) 评论(0) 推荐(1) 编辑
摘要:wchar,char,string,wstring互转 std::wstring temp = std::wstring(me32.szModule); // wchar -> string impBlock.dllName = std::string(temp.begin(), temp.end( 阅读全文
posted @ 2020-07-06 15:07 OneTrainee 阅读(86) 评论(0) 推荐(0) 编辑
摘要:《Windows内核安全与驱动开发》阅读笔记 -- 索引目录 键盘过滤 1.如何绑定需要过滤的设备 键盘在底层存在一个驱动,即 \Driver\kbdclass,我们通过ObReferenceObjectByName这个非公开函数来获取这个驱动指针, 然后遍历该驱动下面的设备对象,见到一个绑定一个, 阅读全文
posted @ 2020-06-28 21:15 OneTrainee 阅读(347) 评论(0) 推荐(0) 编辑
摘要:《Windows内核安全与驱动开发》阅读笔记 -- 索引目录 https://github.com/minglinchen/WinKernelDev/tree/master/comcap 串口过滤 1. 串口过滤思路 每一个串口在 Device\ 文件夹下都有一个对应的设备,每个设备及对应的一个设备 阅读全文
posted @ 2020-06-24 10:16 OneTrainee 阅读(335) 评论(0) 推荐(0) 编辑