2013 年 11月 19 日随笔档案 - vcerror

2013年11月19日

摘要： WindowsAPI的系统调用过程通过KiFastSystemCall或int2e进入内核，本文仅对XP上的KiFastSystemCall进行浅析。以ntdll!ZwCreateProcessEx为例： Eax中保存系统调用号，此处ZwCreateProcessEx的为30h；Edx是Sha... 阅读全文

posted @ 2013-11-19 17:01 vcerror 阅读(760) 评论(0) 推荐(0)

对XP上的KiFastSystemCall进行浅析

posted @ 2013-11-19 17:01 vcerror 阅读(220) 评论(0) 推荐(0)

RasieException

摘要： RasieException是SEH API，SEH != 进内核，RasieException并不必然导致用户态内核态切换。事实上这个API被调用以后会首先尝试在用户态进行处理，如果没有任何处理者可用，则直接调用ExitProcess退出进程，这个调用倒是要进内核。Raising an excep... 阅读全文

posted @ 2013-11-19 16:32 vcerror 阅读(504) 评论(0) 推荐(0)

RasieException

posted @ 2013-11-19 16:32 vcerror 阅读(188) 评论(0) 推荐(0)

Windbg 问题集锦记录

摘要：问题1：问：0 Id: 15f4.e60 Suspend: 1 Teb: 7ffdf000 Unfrozen# ChildEBP RetAddr Args to Child00 0012fe80 77d693f3 00456cd8 0012feec 00456cf3 ntdll!KiFastSyst... 阅读全文

posted @ 2013-11-19 16:18 vcerror 阅读(305) 评论(0) 推荐(0)

Windbg 问题集锦记录

摘要：问题1：问：0 Id: 15f4.e60 Suspend: 1 Teb: 7ffdf000 Unfrozen# ChildEBP RetAddr Args to Child00 0012fe80 77d693f3 00456cd8 0012feec 00456cf3 ntdll!KiFastSyst... 阅读全文

posted @ 2013-11-19 16:18 vcerror 阅读(167) 评论(0) 推荐(0)

通过挂钩NtCreateSection监控可执行模块

摘要：通过挂钩NtCreateSection监控可执行模块在Win32中，我们使用CreateFileMapping来创建映射文件对象，函数原型如下：HANDLE CreateFileMapping(HANDLE hFile,// handle to file to mapLPSECURITY_ATTRI... 阅读全文

posted @ 2013-11-19 15:49 vcerror 阅读(293) 评论(0) 推荐(0)

通过挂钩NtCreateSection监控可执行模块

posted @ 2013-11-19 15:49 vcerror 阅读(404) 评论(0) 推荐(0)

Windows的SEH机理简要介绍

摘要： 1.异常分类一般来说,我们把Exception分为2类，一类是CPU产生的异常，我们称之为CPU异常(或者硬件异常）。另一类为是通过调用RaiseException API产生的软件异常，我们称之为软件异常。Windows使用同一的方式(KiDispatchException)来描述和分发这两类异常... 阅读全文

posted @ 2013-11-19 15:46 vcerror 阅读(293) 评论(0) 推荐(0)

Windows的SEH机理简要介绍

posted @ 2013-11-19 15:46 vcerror 阅读(534) 评论(0) 推荐(1)

利用钩子技术控制进程创建(附源代码)

摘要：源码下载地址：http://download.csdn.net/detail/swanabin/6575541一、简介最近，我了解到一个叫做Sanctuary的相当有趣的安全产品。它能够阻止任何程序的运行-这些程序没有显示在软件列表中-该表中的程序被允许在一个特定的机器上运行。结果，PC用户得... 阅读全文

posted @ 2013-11-19 14:11 vcerror 阅读(338) 评论(0) 推荐(0)

vcerror

公告