摘要：参考：0Day 安全 所有的win_32程序都会加载ntdll.dll和kerner32.dll这两个最基础的动态链接库。如果想要在win_32平台下定位kernel32.dll中的API地址 1，首先通过段选择字FS在内存中找到当前的线程环境快TEB。 2，线程环境快偏移位置为0x30的地方存放着 阅读全文

摘要：参考：张银奎《软件调试》第八章 Int 2e： Windows将2e号向量专门用作系统调用，在启动早起初始化中断描述表时便注册好了适合的服务例程。因此当NtDll中的NtReadFile发出int 2e指令后，cpu便会通过idt表找到KisystemService函数。因为KiSystemServ 阅读全文