2019年11月1日
用户模拟异常的记录
摘要: 用户模拟异常的记录 我们现在来分析一下用户模拟异常 1. 测试代码 二、分析过程 1. 使用 visual Studio 在 "throw 1"处下断点启动调试 throw 1; 00D91808 mov dword ptr [ebp-0C8h],1 00D91812 push offset __T 阅读全文
posted @ 2019-11-01 15:29 OneTrainee 阅读(563) 评论(0) 推荐(0)
解决 Visual Studio 符号加载不完全问题
摘要: 解决 Visual Studio 符号加载不完全问题 工具 - 选项 - 搜索 "符号" - 选上服务器 | 加载所有符号, 之后符号就会显示完全 阅读全文
posted @ 2019-11-01 08:08 OneTrainee 阅读(1261) 评论(0) 推荐(0)
2019年10月31日
利用 Symbol Type Viewer 工具实现将 pdb 文件 转换为 c\c++ 头文件
摘要: 利用 Symbol Type Viewer 工具实现将 pdb 文件 转换为 c\c++ 头文件 一、得到符号 二、将符号转换为 .h 文件 三、得到 c\c++ 头文件,之后编程时直接导入这个文件即可,不需要自己再去定义了 四、后记:感谢逼哥介绍的软件,不用再去自定义结构体了。 阅读全文
posted @ 2019-10-31 09:31 OneTrainee 阅读(2970) 评论(5) 推荐(0)
2019年10月30日
使用 Xbox Game 录制桌面视频(录制音频)
摘要: 使用 Xbox Game 录制桌面视频(附带音频) 前言:可能自己音频输出的问题,一直无法用工具录制桌面的音频,而最后发现利用 Xbox Game 录制游戏视频的功能很好地解决我们的问题。 1)打开游戏,让启动Xbox可以启动。 注意:如果不启动游戏,则 Xbox 无法启动。启动 Wegame 或者 阅读全文
posted @ 2019-10-30 21:27 OneTrainee 阅读(8006) 评论(0) 推荐(0)
使用 PDBDownloader 解决 IDA 加载 ntoskrnl.exe 时符号不完全问题
摘要: 解决 IDA 加载 ntoskrnl.exe 时符号不完全问题 1. 问题:IDA加载xp系统的 ntoskrnl.exe 加载不完全。 2. 尝试过但未成功的解决方案: 1)配置好的IDA的 pdb.cfg,依然无效。 2)清空 C:\\symbol\ 文件下的符号表重新打开,期望符号表会重新下载 阅读全文
posted @ 2019-10-30 21:01 OneTrainee 阅读(2506) 评论(0) 推荐(0)
全局句柄表
摘要: Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html 全局句柄表 在这前有一篇中我们介绍过私有句柄表。 对于私有句柄表,每个进程有一份。 全局句柄表,就一份,其所有句柄都存储在这张表中,由操作系统维护。 全局句柄表有一个 阅读全文
posted @ 2019-10-30 15:01 OneTrainee 阅读(925) 评论(0) 推荐(0)
句柄表(私有句柄表)
摘要: Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html 句柄表(私有句柄表) 我们在R3环编程中,会接触到句柄HANDLE的概念。 比如OPENPROCESS,打开进程获取其进程句柄,这些被称为“内核句柄”。 注意,与GU 阅读全文
posted @ 2019-10-30 12:16 OneTrainee 阅读(1440) 评论(0) 推荐(1)
2019年10月28日
关于VAD的两种内存隐藏方式
摘要: Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html 技术学习来源:火哥(QQ:471194425) 内存在0环的两种内存隐藏方式(基于VAD树) 一、通过 _MMVAD.StartingVpn与_MMVAD.Endin 阅读全文
posted @ 2019-10-28 08:43 OneTrainee 阅读(7967) 评论(0) 推荐(1)
2019年10月27日
通过修改VAD属性破除锁页机制
摘要: Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html 技术学习来源:火哥(QQ:471194425) 注释:因为自己的知识有限,在句柄那块说的不是很清除,在学习相关知识之后会自行补上。 通过修改VAD属性破除锁页机制 对 阅读全文
posted @ 2019-10-27 21:24 OneTrainee 阅读(2271) 评论(0) 推荐(0)
R3环申请内存时页面保护与_MMVAD_FLAGS.Protection位的对应关系
摘要: Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html R3环申请内存时页面保护与_MMVAD_FLAGS.Protection位的对应关系 我们之前有过一篇关于 VAD 的介绍,其中 _MMVAD_FLAGS.Prote 阅读全文
posted @ 2019-10-27 20:25 OneTrainee 阅读(2406) 评论(0) 推荐(0)