第七子007

摘要： 本章的代码分3个模块： MBR 引导：加载内核core程序 core：包含内核代码段（从磁盘加载用户程序并重定位）、内核数据段（存放api名称、临时缓冲、字符串等）、API段（供用户程序调用） 用户程序：调用内核API打印字符串、读写磁盘 内核程序、用户程序：这里的重定位，本质上是根据在内存中的实际 阅读全文

摘要： 一、先聊聊保护模式的基本概念：为什么叫保护模式？到底保护了啥？是怎么保护的？ 1、保护模式：要搞定出保护模式的意义，需要理解另一个概念：实模式；实模式下，存在以下重大的安全隐患： （1）内存没权限区别：用户程序可以访问任意内存，包括操作系统运行的内存、其他程序运行的内存（个人观点：这是万恶之源。病毒 阅读全文

摘要： 用户按下开机键，几秒的时间，都经历了啥？ 1、cpu各个寄存器赋初始值，cs.base=0xffff0000, eip=0xfff0，其他寄存器都是0，这时cs:ip得到的物理地址：0xfffffff0; cpu上电后为啥会把cs:ip赋成这种初始值了？ 可能是希望把BIOS-ROM放在可寻址4GB 阅读全文

摘要： windows平台中，某些进程做了各种保护，比如hook了terminateProcess，又或者注册了进程终止函数的回调。当调用这些API或任务管理器终止该进程时，会被绕过，典型如某些杀毒软件，怎么才能终止这些进程了？ 进程是由线程组成的，如果该进程名下所有线程都终止，此进程也会被windows回 阅读全文

摘要： 在windows平台做逆向、外挂等，经常需要调用很多未导出的内核函数，怎么方便、快速查找了？可以先用IDA等工具查看硬编码，再根据硬编码定位到需要调用的函数。整个思路大致如下： 1、先查找目标模块 遍历模块的方式有多种。既然通过驱动在内核编程，这里选择遍历driverObject的DriverSec 阅读全文