Revercc's Blog

摘要： x86 SSDT Hook 32位下进行SSDT Hook比较简单，通过修改SSDT表中需要hook的系统服务为自己的函数，在自己的函数中进行过滤判断达到hook的目的。 获取KeServiceDescriptorTable基地址 要想进行ssdt hook，首先需要获得SSDT表的基地址。 因为K 阅读全文

摘要： X86 在C:\Windwos\System32\中存放着系统所有的dll文件，这些dll文件导出相应的系统API接口函数供我们的应用程序调用。其中最重要的四个dll文件：kernel32.dll，user32.dll，gdi32.dll，以及最重要的ntdll.dll（kernel32.dll，u 阅读全文

摘要： 输入法注入原理 IME输入法实际就是一个dll文件（后缀为ime），此dll文件需要导出必要的接口供系统加载输入法时调用。我们可以在此ime文件的DllMain函数的入口通过调用LoadLibrary函数来加载需要注入的dll。 输入法注入实现 ime文件需要导出必要的接口函数。 ImeConver 阅读全文

摘要： 内核调用用户 正常的系统调用过程为Ring3->Ring0->Ring3，而KeUserModeCallback提供了一种Ring0->Ring3->Ring0的方式，即从内核去用户层执行代码。 KeUserModeCallback ( IN ULONG ApiNumber, //对应函数在Kern 阅读全文

摘要： windows操作系统初始化 windows操作系统再初始化的过程中，当内核完全初始化而且各个组件也已经准备好后会加载一个个用户进程smss.exe(会话管理器)，此进程会接着调用NtSetSystemInformation并传入SystemRegistryAppendStringInformati 阅读全文

摘要： 在内核中通过调用此函数来枚举windows系统中已经加载的内核模块。 NTSTATUS ZwQuerySystemInformation ( SYSTEM_INFORMATION_CLASS SystemInformationClass, PVOID SystemInformation, ULONG 阅读全文

摘要： 监控进程 NTSTATUS PsSetCreateProcessNotifyRoutineEx( PCREATE_PROCESS_NOTIFY_ROUTINE_EX NotifyRoutine, BOOLEAN Remove ); 通过PsSetCreateProcessNotifyRoutineE 阅读全文

摘要： 策略：VC编译器x64平台不支持内联汇编，我们利用在Source文件中直接添加asm文件，直接在asm文件中写汇编代码，然后将asm文件编译为OBJ文件。然后就可以在c++文件中声明asm文件中的函数后直接使用asm文件中用汇编写的函数。 设置步骤 先在源文件中添加一个asm文件 然后右击文件设置属 阅读全文

摘要： 控制寄存器 控制寄存器用于控制和确定CPU的操作模式 CR0 CR1 CR2 CR3 CR4 CR1保留，CR3是页目录表物理基址或页目录指针表物理基址。 CR0 1、PE：CR0的位0是启用保护（Protection Enable）标志。 PE=1保护模式 PE=0 实地址模式 这个标志仅开启段级 阅读全文

摘要： TLB(Translation Look=aside Buffer) TLB地址转译快查缓冲区，如果每次应用程序访问一个线性地址都需要先解析(查PDT,PTT)那么效率十分低，为了提高执行效率CPU在CPU内部建立了一个TLB表，此表和寄存器一样访问速度极高。其会记录线性地址和物理地址之间的对应关系 阅读全文