wapysun

内核态下基于动态感染技术的应用程序执行保护（三获取SSDT）

（转载请注明博客地址：http://blog.csdn.net/hitetoshi）

前面我们经常提到SSDT，那么什么是SSDT呢？SSDT（SystemServices Descriptor Table）：系统服务描述符表。要对它有清楚的认识，我们先以用户态下调用CreateThread来举个例子。

如果你有兴趣，可以用OllyDbg在CreateThread上下断点，你会发现，经过一些简单的处理，CreateThread会调用CreateRemoteThread，按F7进入CreateRemoteThread，再经过一段跟踪，会发现CreateRemoteThread实际上又调用ZwCreateThread，再按F7跟踪进去，ZwCreateThread的代码非常简单：

7C92D1AE > B8 35000000 MOV EAX,35

7C92D1B3 BA 0003FE7F MOVEDX,7FFE0300

7C92D1B8 FF12 CALL DWORD PTR DS:[EDX]

7C92D1BA C2 2000 RETN 20

注意MOV EDX,7FFE0300/CALL DWORD PTRDS:[EDX]这两条指令，从OD上可以看到，这实际上是调用ntdll.dll中的KiFastSystemCall，KiFastSystemCall的代码也很简单：

7C92E510 > 8BD4 MOV EDX,ESP

7C92E512 0F34 SYSENTER

7C92E514 > C3 RETN

如果这时候你再用F7一步一步的跟，你会发现，到SYSENTER这条指令时，OllyDbg无法跟踪进去，而当这条指令执行完时，实际上ZwCreateThread的功能已经执行完成――用户态的一切玄机似乎都在SYSENTER这条指令上。SYSENTER指令在用户态下向内核态发起系统调用，此时代码切换到内核，因此OllyDbg这样的用户态调试器是无法调试的。和KiFastSystemCall类似，ntdll.dll中也有一个KiIntSystemCall。PII以前的处理器并不支持SYSENTER这条指令，因此KiIntSystemCall以一条INT 2E指令切换到内核。

SYSENTER进入内核的KiFastCallEntry（该函数没有被ntoskrnl.exe导出，你可能需要下载ntoskrnl.exe的Symbol才能看到它），KiFastCallEntry大致进行的工作就是按照SSDT表找到对应服务函数的地址，并转入到服务函数，即内核NtCreateThread中去。SSDT包含在一个叫SDT（服务描述表）的结构中，SDT由ntoskrnl.exe（某些系统下可能不是这个文件名，例如多核处理器下可能是ntkrnlpa.exe，但为简便起见，下文都用ntoskrnl.exe来表述）以KeServiceDescriptorTable为名称导出，SDT的定义如下：

ServiceDescriptorEntry STRUCT

pvSSDTBase dd ? ;SSDT基地址

pvServiceCounterTable dd ? ;SSDT中每个服务被调用次数的表

ulNumberOfServices dd ? ;描述的服务的数目

pvParamTableBase dd ? ;每个系统服务参数的字节数的表

ServiceDescriptorEntry ENDS

我们可以在LiveKd中用d nt!KeServiceDescriptorTable来观察内核中这个结构的数据：

可见系统中有0x11C个SSDT项，基地址为0x80505480，我们来看看SSDT表的内容，用d 80505480命令：

从0x80505480开始，存放每个系统服务项的函数地址，那么怎么确定内核NtCreateThread的地址呢？答案就在用户态下ZwCreateThread的mov eax,0x35这条指令，它指明了NtCreateThread在SSDT中是第0x35项，计算一下0x80505480+0x35*4=0x80505554，看一看：

大约NtCreateThread应该在0x805D2018这个地址，用u nt!NtCreateThread命令看一下：

正是这个地址！（大家肯定会比较奇怪NtCreateThread的第一条指令怎么会是Jmp，我也是今天写这篇稳当时才发现我的NtCreateThread居然被Inline hook了！NND！一看模块，IsDrv122.sys，原来是开着冰刃……）。

出了冰刃这个事件也好，也就是我想跟大家说的Hook SSDT，刚才大家已经看到，冰刃对SSDT的NtCreateThread做了Inline hook，我曾经说过，我极不推荐做Inline hook，除非你技术实力非常强大。原因我会在后面的文章介绍。这里我们有一个思路，如果把0x80505554这个地址的内容替换了，换成我们的函数，不是一样达到HookNtCreateThread的效果了吗？这就是SSDT Hook。在SSDT上做Hook或者是InlineHook是非常强大的，因为用户态上所有CreateThread的调用最终都会进入这个函数。很多杀毒软件会Hook SSDT的这个位置，用来监视是否有进程试图用CreateRemoteThread向其它进程启动远程线程，这是防止远程线程的一个很有效的方法。不过我们Hook NtCreateThread的目的不是这个，我前面已经说了，我们要用它来监视进程的创建，并向进程中注入代码。

今天的这篇文章我并不会完成Hook SSDT的代码，因为在我们的内核程序中还有很多事情要做：获取NtCreateThread的服务序号、获取保存NtCreateThread地址的位置以及获取NtCreateThread的地址。

我们在上次的DynamicHook.asm的DriverEntry中加一些代码（红色部分是新加的代码）：

DriverEntry proc pDriverObject:PDRIVER_OBJECT,pusRegistryPath:PUNICODE_STRING

local status:NTSTATUS

local pDeviceObject:PDEVICE_OBJECT

mov status,STATUS_DEVICE_CONFIGURATION_ERROR

invoke IoCreateDevice,pDriverObject,0,addrg_usDeviceName,FILE_DEVICE_UNKNOWN,0,FALSE,addr pDeviceObject

.if eax==STATUS_SUCCESS

invoke IoCreateSymbolicLink,addrg_usSymbolicLinkName,addr g_usDeviceName

.if eax==STATUS_SUCCESS

mov eax,pDriverObject

assume eax:ptr DRIVER_OBJECT

mov [eax].DriverUnload,offset DriverUnload

mov [eax].MajorFunction[IRP_MJ_CREATE*(sizeof PVOID)],offsetDispatchCreateClose

mov [eax].MajorFunction[IRP_MJ_CLOSE*(sizeof PVOID)],offsetDispatchCreateClose

invoke DbgPrint,$CTA0("Driver entry")

invoke HookNtCreateThread

NT_SUCCESS eax

.if eax

invoke DbgPrint,$CTA0("Hook success")

mov status,STATUS_SUCCESS

.else

invoke DbgPrint,$CTA0("Hook failure")

.endif

assume eax:nothing

.else

invoke IoDeleteDevice,pDeviceObject

.endif

@@:

mov eax,status

ret

DriverEntry endp

在.const节中加入：

CCOUNTED_UNICODE_STRING "NtCreateThread",g_usNtCreateThread,4

完成HookNtCreateThread函数：

;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

HookNtCreateThread proc

local dwNtCreateThreadIndex

local dwNtCreateThreadAddress

local status:NTSTATUS

mov status,STATUS_UNSUCCESSFUL

;获取NtCreateThread服务序号

invoke GetSysCallIndex,addrg_usNtCreateThread

.if eax

mov dwNtCreateThreadIndex,eax

;获取NtCreteThread在内核中的地址

invoke GetSSDTOrigValue,dwNtCreateThreadIndex

.if eax

mov dwNtCreateThreadAddress,eax

invoke DbgPrint,$CTA0("NtCreateThreadindex:%08X,address:%08X"),dwNtCreateThreadIndex,dwNtCreateThreadAddress

mov status,STATUS_SUCCESS

.endif

mov eax,status

ret

HookNtCreateThread endp

为了完成GetSysCallIndex和GetSSDTOrigValue这两个函数，我增加了PEFile.asm和SSDT.asm两个文件以及对应的PEFile.inc、SSDT.inc和DyanmicHook.inc，你把这些文件加入进去时，注意要向上次那样设置PEFile.asm和SSDT.asm的汇编选项，设置各个文件的依赖项（自己看include去设置，就不详述了）。先把这五个文件的内容贴出来：

;PEFile.asm

.386

.model flat,stdcall

option casemap:none

include ntddk.inc

include native.inc

include hal.inc

include ntoskrnl.inc

include strings.mac

include DynamicHook.inc

include PEFile.inc

.code

;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

GetAlignedSize proc uses edx ecx dwSize,dwAlignment

xor edx,edx

mov eax,dwSize

mov ecx,dwAlignment

div ecx

.if edx==0

mov eax,dwSize

.else

inc eax

mul dwAlignment

.endif

ret

GetAlignedSize endp

;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

GetTotalImageSize proc uses edi edx ecx pDosHeader:PIMAGE_DOS_HEADER,pNtHeaders:PIMAGE_NT_HEADERS

local dwResult:DWORD

local dwAlignment:DWORD

local dwSections:DWORD

and dwResult,0

mov edi,pNtHeaders

assume edi:ptrIMAGE_NT_HEADERS

M2M dwAlignment,[edi].OptionalHeader.SectionAlignment

xor edx,edx

mov eax,[edi].OptionalHeader.SizeOfHeaders

mov ecx,dwAlignment

div ecx

.if edx==0

mov eax,[edi].OptionalHeader.SizeOfHeaders

add dwResult,eax

.else

inc eax

mul dwAlignment

add dwResult,eax

.endif

mov edi,pNtHeaders

assume edi:ptrIMAGE_NT_HEADERS

movzx eax,[edi].FileHeader.NumberOfSections

mov dwSections,eax

add edi,sizeofIMAGE_NT_HEADERS

assume edi:ptrIMAGE_SECTION_HEADER

xor edx,edx

.while edx<dwSections

push edx

mov eax,[edi].Misc.VirtualSize

.if eax

xor edx,edx

mov ecx,dwAlignment

div ecx

.if edx==0

mov eax,[edi].Misc.VirtualSize

add dwResult,eax

.else

inc eax

mul dwAlignment

add dwResult,eax

.endif

pop edx

add edi,sizeofIMAGE_SECTION_HEADER

inc edx

.endw

assume edi:nothing

mov eax,dwResult

ret

GetTotalImageSize endp

;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

GetPEInfo proc uses edi esi pBase:PVOID,ppDosHeader:ptr PIMAGE_DOS_HEADER,ppNtHeaders:ptrPIMAGE_NT_HEADERS

local status:NTSTATUS

mov status,STATUS_UNSUCCESSFUL

mov edi,pBase

assume edi:ptrIMAGE_DOS_HEADER

.if [edi].e_magic!=IMAGE_DOS_SIGNATURE

jmp @F

.endif

mov esi,ppDosHeader

.if esi

mov dwordptr [esi],edi

.endif

add edi,[edi].e_lfanew

assume edi:ptrIMAGE_NT_HEADERS

.if [edi].Signature!=IMAGE_NT_SIGNATURE

jmp @F

.endif

mov esi,ppNtHeaders

.if esi

mov dwordptr [esi],edi

.endif

mov status,STATUS_SUCCESS

@@:

mov eax,status

ret

GetPEInfo endp

;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

KLoadPEFile proc uses edi esi pBaseAddress:PVOID,pLoadAddress:PVOID

local status:NTSTATUS

local pDosHeader:PIMAGE_DOS_HEADER

local pNtHeaders:PIMAGE_NT_HEADERS

local pPtr:PVOID

local dwSections:DWORD

local dwAlignment:DWORD

mov status,STATUS_UNSUCCESSFUL

invoke KeGetCurrentIrql

.if eax!=PASSIVE_LEVEL

mov status,STATUS_INVALID_LEVEL

jmp @F

.endif

M2M pPtr,pLoadAddress

invoke GetPEInfo,pBaseAddress,addrpDosHeader,addr pNtHeaders

.if eax==STATUS_SUCCESS

mov edi,pNtHeaders

assume edi:ptrIMAGE_NT_HEADERS

invoke memcpy,pPtr,pBaseAddress,[edi].OptionalHeader.SizeOfHeaders

M2M dwAlignment,[edi].OptionalHeader.SectionAlignment

invoke GetAlignedSize,[edi].OptionalHeader.SizeOfHeaders,dwAlignment

add pPtr,eax

movzx eax,[edi].FileHeader.NumberOfSections

mov dwSections,eax

add edi,sizeofIMAGE_NT_HEADERS

assume edi:ptrIMAGE_SECTION_HEADER

xor edx,edx

.while edx<dwSections

push edx

mov eax,[edi].SizeOfRawData

.if eax>0

.if eax>[edi].Misc.VirtualSize

mov eax,[edi].Misc.VirtualSize

.endif

mov esi,pBaseAddress

add esi,[edi].PointerToRawData

invoke memcpy,pPtr,esi,eax

invoke GetAlignedSize,[edi].Misc.VirtualSize,dwAlignment

add pPtr,eax

.endif

pop edx

add edi,sizeof IMAGE_SECTION_HEADER

inc edx

.endw

mov status,STATUS_SUCCESS

assume edi:nothing

.endif

@@:

mov eax,status

ret

KLoadPEFile endp

;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

;装载PE文件到内存并对齐

;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

KLoadLibrary proc pusFileName:PUNICODE_STRING

local oa:OBJECT_ATTRIBUTES

local iosb:IO_STATUS_BLOCK

local hFile:HANDLE

local dwFileSize:DWORD

local fsi:FILE_STANDARD_INFORMATION

local pFile:PVOID

local pDosHeader:PIMAGE_DOS_HEADER

local pNtHeaders:PIMAGE_NT_HEADERS

local dwImageSize

local pImage:PVOID

and pImage,0

invoke KeGetCurrentIrql

.if eax!=PASSIVE_LEVEL

jmp @F

.endif

InitializeObjectAttributes addr oa,pusFileName,OBJ_CASE_INSENSITIVE orOBJ_KERNEL_HANDLE,NULL,NULL

invoke ZwOpenFile,addrhFile,FILE_READ_DATA or FILE_EXECUTE or SYNCHRONIZE,addr oa,addriosb,FILE_SHARE_READ,FILE_SYNCHRONOUS_IO_NONALERT

NT_SUCCESS eax

.if eax

invoke RtlZeroMemory,addrfsi,sizeof fsi

invoke ZwQueryInformationFile,hFile,addriosb,addr fsi,sizeof fsi,FileStandardInformation

NT_SUCCESS eax

.if eax

M2M dwFileSize,fsi.EndOfFile.LowPart

;分配内存

invoke ExAllocatePool,PagedPool,dwFileSize

.if eax

mov pFile,eax

invoke ZwReadFile,hFile,0,NULL,NULL,addr iosb,pFile,dwFileSize,0,NULL

NT_SUCCESS eax

.if eax

invoke GetPEInfo,pFile,addr pDosHeader,addrpNtHeaders

.if eax==STATUS_SUCCESS

invoke GetTotalImageSize,pDosHeader,pNtHeaders

.if eax

mov dwImageSize,eax

invoke ExAllocatePool,PagedPool,dwImageSize

.if eax

mov pImage,eax

invoke KLoadPEFile,pFile,pImage

.if eax!=STATUS_SUCCESS

invoke ExFreePool,pImage

and pImage,0

.endif

invoke ExFreePool,pFile

.endif

invoke ZwClose,hFile

.endif

@@:

mov eax,pImage

ret

KLoadLibrary endp

;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

GetPEImageBase proc uses edi pBaseAddress:PVOID

local dwReturn:DWORD

and dwReturn,0

mov edi,pBaseAddress

assume edi:ptrIMAGE_DOS_HEADER

.if [edi].e_magic!=IMAGE_DOS_SIGNATURE

jmp @F

.endif

add edi,[edi].e_lfanew

assume edi:ptrIMAGE_NT_HEADERS

.if [edi].Signature!=IMAGE_NT_SIGNATURE

jmp @F

.endif

M2M dwReturn,[edi].OptionalHeader.ImageBase

assume edi:nothing

@@:

mov eax,dwReturn

ret

GetPEImageBase endp

;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

GetFuncInfoByName proc uses esi edi ecx pusFuncName:PUNICODE_STRING,pBaseAddress:PVOID,pOrdinal:PDWORD

local dwAddress

local lpAddressOfNames

local lpAddressOfNameOrdinals

local dwIndex

local usExportFunctionName:UNICODE_STRING

local ansExportFunctionName:ANSI_STRING

xor eax,eax

mov dwAddress,eax

mov esi,pOrdinal

.if esi

mov dwordptr [esi],0

.endif

invoke KeGetCurrentIrql

.if eax!=PASSIVE_LEVEL

jmp _RETURN

.endif

mov esi,pBaseAddress

assume esi:ptrIMAGE_DOS_HEADER

add esi,[esi].e_lfanew

assume esi:ptrIMAGE_NT_HEADERS

mov eax,[esi].OptionalHeader.DataDirectory.VirtualAddress

.if !eax

jmp _RETURN

.endif

add eax,pBaseAddress

mov edi,eax

assume edi:ptrIMAGE_EXPORT_DIRECTORY

mov eax,[edi].AddressOfNames

add eax,pBaseAddress

mov lpAddressOfNames,eax

mov eax,[edi].AddressOfNameOrdinals

add eax,pBaseAddress

mov lpAddressOfNameOrdinals,eax

mov eax,[edi].AddressOfFunctions

add eax,pBaseAddress

mov esi,eax

mov ecx,[edi].NumberOfFunctions

mov dwIndex,0

@@:

pushad

mov eax,dwIndex

push edi

mov ecx,[edi].NumberOfNames

cld

mov edi,lpAddressOfNameOrdinals

repnz scasw

.if ZERO?

sub edi,lpAddressOfNameOrdinals

sub edi,2

shl edi,1

add edi,lpAddressOfNames

mov eax,dwordptr [edi]

add eax,pBaseAddress

invoke RtlInitAnsiString,addransExportFunctionName,eax

invoke RtlAnsiStringToUnicodeString,addrusExportFunctionName,addr ansExportFunctionName,TRUE

invoke RtlCompareUnicodeString,addrusExportFunctionName,pusFuncName,FALSE

push eax

invoke RtlFreeUnicodeString,addrusExportFunctionName

pop eax

.if eax==0

M2M dwAddress,dwordptr [esi]

pop edi

mov esi,pOrdinal

.if esi

mov ecx,dwIndex

add ecx,[edi].nBase

mov dword ptr [esi],ecx

.endif

popad

jmp _RETURN

.endif

pop edi

popad

add esi,4

inc dwIndex

loop @B

_RETURN:

assume esi:nothing

mov eax,dwAddress

ret

GetFuncInfoByName endp

;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

;获取DLL导出函数信息

;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

GetFunctionInformation proc uses esi edi pusFuncName:PUNICODE_STRING,pusDllName:PUNICODE_STRING,pFuncInfo:PFUNCTION_INFORMATION

local status:NTSTATUS

local pBaseAddress:PVOID

xor eax,eax

mov pBaseAddress,eax

mov status,STATUS_UNSUCCESSFUL

invoke KeGetCurrentIrql

.if eax!=PASSIVE_LEVEL

mov status,STATUS_INVALID_LEVEL

jmp @F

.endif

invoke KLoadLibrary,pusDllName

.if eax

mov pBaseAddress,eax

mov esi,pFuncInfo

assume esi:ptrFUNCTION_INFORMATION

lea edi,[esi].dwOridnal

invoke GetFuncInfoByName,pusFuncName,pBaseAddress,edi

.if eax

lea edi,[esi].dwAddress

mov dword ptr [edi],eax

lea edi,[esi].byEntryCode

mov esi,[esi].dwAddress

add esi,pBaseAddress

invoke memcpy,edi,esi,16

mov status,STATUS_SUCCESS

.else

mov status,STATUS_UNSUCCESSFUL

.endif

invoke ExFreePool,pBaseAddress

assume esi:nothing

.endif

@@:

mov eax,status

ret

GetFunctionInformation endp

end

;SSDT.asm

.386

.model flat,stdcall

option casemap:none

include ntddk.inc

include native.inc

include ntoskrnl.inc

include hal.inc

include strings.mac

includePEFile.inc

include DynamicHook.inc

include SSDT.inc

.const

CCOUNTED_UNICODE_STRING "\\Systemroot\\System32\\ntdll.dll",g_usntdllFileName,4

CCOUNTED_UNICODE_STRING "KeServiceDescriptorTable",g_usKeServiceDescriptorTable,4

.code

;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

;获取内核文件名

;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

GetKernel proc uses edi pusFileName:PUNICODE_STRING

local dwLength:DWORD

local dwAddress:DWORD

local pBuffer

local szFileName[260]:byte

local ansFileName:ANSI_STRING

local dwBase:DWORD

and dwLength,0

and pBuffer,0

and dwAddress,0

invoke KeGetCurrentIrql

.if eax!=PASSIVE_LEVEL

jmp @F

.endif

invoke ZwQuerySystemInformation,SystemModuleInformation,NULL,0,addrdwLength

.if dwLength

invoke ExAllocatePool,PagedPool,dwLength

.if eax

mov pBuffer,eax

invoke ZwQuerySystemInformation,SystemModuleInformation,pBuffer,dwLength,addrdwLength

NT_SUCCESS eax

.if eax

mov eax,pBuffer

add eax,4

assume eax:ptr SYSTEM_MODULE_INFORMATION

M2M dwBase,[eax].Base

lea edi,[eax].ImageName

movzx eax,[eax].ModuleNameOffset

add edi,eax

assume eax:nothing

invoke RtlZeroMemory,addr szFileName,260

invoke strcpy,addr szFileName,$CTA0("\\Systemroot\\System32\\")

invoke strcat,addr szFileName,edi

invoke RtlInitAnsiString,addr ansFileName,addr szFileName

.if pusFileName!=NULL

invoke RtlAnsiStringToUnicodeString,pusFileName,addransFileName,TRUE

M2M dwAddress,dwBase

.endif

invoke ExFreePool,pBuffer

.endif

@@:

mov eax,dwAddress

ret

GetKernel endp

;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

FindKiServiceTableEx proc uses ecx edi esi edx hModule,dwKSDT

local dwReturn:DWORD

local bFirstChunk:BOOL

local dwCount:DWORD

local dwFixups:DWORD

local dwImageBase:DWORD

and dwReturn,0

and dwFixups,0

mov edi,hModule

assume edi:ptrIMAGE_DOS_HEADER

.if [edi].e_magic!=IMAGE_DOS_SIGNATURE

jmp @F

.endif

add edi,[edi].e_lfanew

assume edi:ptrIMAGE_NT_HEADERS

.if [edi].Signature!=IMAGE_NT_SIGNATURE

jmp @F

.endif

push [edi].OptionalHeader.ImageBase

pop dwImageBase

mov eax,[edi].OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC*sizeofIMAGE_DATA_DIRECTORY].VirtualAddress

movzx ecx,[edi].FileHeader.Characteristics

and ecx,IMAGE_FILE_RELOCS_STRIPPED

.if (eax)&& !(ecx)

mov edi,hModule

add edi,eax

assume edi:ptrIMAGE_BASE_RELOCATION

mov bFirstChunk,TRUE

.while bFirstChunk|| [edi].VirtualAddress

mov bFirstChunk,FALSE

mov esi,edi

add esi,sizeof IMAGE_BASE_RELOCATION

assume esi:ptr IMAGE_FIXUP_ENTRY

mov edx,[edi].SizeOfBlock

sub edx,sizeof IMAGE_BASE_RELOCATION

ror edx,1

mov dwCount,edx

xor edx,edx

.while edx<dwCount

push edx

mov ax,word ptr [esi]

and ax,0F000h

ror ax,12

.if ax==IMAGE_REL_BASED_HIGHLOW

inc dwFixups

mov ax,word ptr [esi]

and ax,0FFFh

movzx eax,ax

add eax,[edi].VirtualAddress

add eax,hModule

mov ecx,eax

mov eax,dword ptr [eax]

sub eax,dwImageBase

.if eax==dwKSDT

mov eax,ecx

sub eax,2

mov ax,word ptr [eax]

.if ax==5C7h

mov eax,ecx

add eax,4

mov eax,dword ptr [eax]

sub eax,dwImageBase

mov dwReturn,eax

jmp @F

.endif

pop edx

inc edx

add esi,sizeof WORD

.endw

add edi,[edi].SizeOfBlock

assume esi:nothing

.endw

.endif

assume edi:nothing

@@:

mov eax,dwReturn

ret

FindKiServiceTableEx endp

;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

;获取SSDT原始值

;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

GetSSDTOrigValue proc uses edi dwIndex

local dwReturn:DWORD

local usKernelFileName:UNICODE_STRING

local dwKernelBase:DWORD

local pBaseAddress:PVOID

local dwImageBase:DWORD

xor eax,eax

mov dwReturn,eax

mov pBaseAddress,eax

mov dwKernelBase,eax

invoke KeGetCurrentIrql

.if eax!=PASSIVE_LEVEL

jmp @F

.endif

invoke GetKernel,addrusKernelFileName

.if eax

mov dwKernelBase,eax

;映射PE文件

invoke KLoadLibrary,addrusKernelFileName

.if eax

mov pBaseAddress,eax

invoke GetPEImageBase,pBaseAddress

.if eax

mov dwImageBase,eax

invoke GetFuncInfoByName,addrg_usKeServiceDescriptorTable,pBaseAddress,NULL

.if eax

invoke FindKiServiceTableEx,pBaseAddress,eax

.if eax

add eax,pBaseAddress

mov edi,eax

mov eax,dwIndex

rol eax,2

add edi,eax

mov eax,dword ptr [edi]

sub eax,dwImageBase

add eax,dwKernelBase

mov dwReturn,eax

.endif

invoke ExFreePool,pBaseAddress

.endif

invoke RtlFreeUnicodeString,addrusKernelFileName

.endif

@@:

mov eax,dwReturn

ret

GetSSDTOrigValue endp

;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

;获取函数的Service Index

;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

GetSysCallIndex proc pusFuncName:PUNICODE_STRING

local FuncInfo:FUNCTION_INFORMATION

invoke GetFunctionInformation,pusFuncName,addrg_usntdllFileName,addr FuncInfo

.if eax==STATUS_SUCCESS

lea eax,FuncInfo.byEntryCode

.if byteptr [eax]==0B8h

inc eax

mov eax,dword ptr [eax]

ret

.endif

xor eax,eax

ret

GetSysCallIndex endp

end

;SSDT.inc

IFNDEF __SSDT_INC__

__SSDT_INC__ equ <1>

ServiceDescriptorEntry STRUCT

pvSSDTBase dd ?

pvServiceCounterTable dd ?

ulNumberOfServices dd ?

pvParamTableBase dd ?

ServiceDescriptorEntry ENDS

GetSysCallIndex proto :PUNICODE_STRING

GetSSDTOrigValue proto :DWORD

GetKernel proto :PUNICODE_STRING

ENDIF

;PEFile.inc

IFNDEF __PEFILE_INC__

__PEFILE_INC__ equ <1>

FUNCTION_INFORMATION STRUCT

byEntryCode db 16 dup (?) ;前16字节

dwOridnal dd ?

dwAddress dd ?

FUNCTION_INFORMATION ENDS

PFUNCTION_INFORMATION typedef ptr FUNCTION_INFORMATION

IMAGE_DOS_SIGNATURE equ 5A4Dh

IMAGE_NT_SIGNATURE equ 00004550h

IMAGE_SIZEOF_SHORT_NAME equ 8

IMAGE_FILE_RELOCS_STRIPPED equ 0001h

IMAGE_REL_BASED_HIGHLOW equ 3

IMAGE_DIRECTORY_ENTRY_EXPORT equ 0

IMAGE_DIRECTORY_ENTRY_BASERELOC equ 5

IMAGE_NUMBEROF_DIRECTORY_ENTRIES equ 16

IMAGE_DOS_HEADERSTRUCT

e_magic WORD ?

e_cblp WORD ?

e_cp WORD ?

e_crlc WORD ?

e_cparhdr WORD ?

e_minalloc WORD ?

e_maxalloc WORD ?

e_ss WORD ?

e_sp WORD ?

e_csum WORD ?

e_ip WORD ?

e_cs WORD ?

e_lfarlc WORD ?

e_ovno WORD ?

e_res WORD 4 dup(?)

e_oemid WORD ?

e_oeminfo WORD ?

e_res2 WORD 10 dup(?)

e_lfanew DWORD ?

IMAGE_DOS_HEADERENDS

PIMAGE_DOS_HEADER typedef ptr IMAGE_DOS_HEADER

IMAGE_DATA_DIRECTORYSTRUCT

VirtualAddress DWORD?

isizeDWORD ?

IMAGE_DATA_DIRECTORYENDS

IMAGE_OPTIONAL_HEADER32STRUCT

Magic WORD ?

MajorLinkerVersion BYTE ?

MinorLinkerVersion BYTE ?

SizeOfCode DWORD ?

SizeOfInitializedData DWORD ?

SizeOfUninitializedData DWORD ?

AddressOfEntryPoint DWORD ?

BaseOfCode DWORD ?

BaseOfData DWORD ?

ImageBase DWORD?

SectionAlignment DWORD ?

FileAlignment DWORD ?

MajorOperatingSystemVersion WORD?

MinorOperatingSystemVersion WORD?

MajorImageVersion WORD ?

MinorImageVersion WORD ?

MajorSubsystemVersion WORD ?

MinorSubsystemVersion WORD ?

Win32VersionValue DWORD ?

SizeOfImage DWORD ?

SizeOfHeaders DWORD ?

CheckSum DWORD ?

Subsystem WORD ?

DllCharacteristics WORD ?

SizeOfStackReserve DWORD ?

SizeOfStackCommit DWORD ?

SizeOfHeapReserve DWORD ?

SizeOfHeapCommit DWORD ?

LoaderFlags DWORD ?

NumberOfRvaAndSizes DWORD ?

DataDirectory IMAGE_DATA_DIRECTORYIMAGE_NUMBEROF_DIRECTORY_ENTRIES dup(<>)

IMAGE_OPTIONAL_HEADER32ENDS

IMAGE_OPTIONAL_HEADER equ<IMAGE_OPTIONAL_HEADER32>

PIMAGE_OPTIONAL_HEADER typedef ptr IMAGE_OPTIONAL_HEADER

IMAGE_EXPORT_DIRECTORYSTRUCT

Characteristics DWORD ?

TimeDateStamp DWORD ?

MajorVersionWORD ?

MinorVersion WORD ?

nName DWORD ?

nBase DWORD ?

NumberOfFunctions DWORD ?

NumberOfNames DWORD ?

AddressOfFunctions DWORD?

AddressOfNames DWORD ?

AddressOfNameOrdinals DWORD?

IMAGE_EXPORT_DIRECTORYENDS

IMAGE_FILE_HEADERSTRUCT

Machine WORD ?

NumberOfSections WORD?

TimeDateStamp DWORD?

PointerToSymbolTable DWORD?

NumberOfSymbols DWORD?

SizeOfOptionalHeader WORD?

Characteristics WORD?

IMAGE_FILE_HEADERENDS

IMAGE_NT_HEADERSSTRUCT

Signature DWORD ?

FileHeader IMAGE_FILE_HEADER <>

OptionalHeader IMAGE_OPTIONAL_HEADER32 <>

IMAGE_NT_HEADERSENDS

PIMAGE_NT_HEADERS typedef ptr IMAGE_NT_HEADERS

IMAGE_SECTION_HEADERSTRUCT

Name1 db IMAGE_SIZEOF_SHORT_NAME dup(?)

union Misc

PhysicalAddress dd ?

VirtualSize dd ?

ends

VirtualAddress dd ?

SizeOfRawData dd ?

PointerToRawData dd ?

PointerToRelocations dd ?

PointerToLinenumbers dd ?

NumberOfRelocations dw ?

NumberOfLinenumbers dw ?

Characteristics dd ?

IMAGE_SECTION_HEADERENDS

PIMAGE_SECTION_HEADER typedef ptr IMAGE_SECTION_HEADER

IMAGE_BASE_RELOCATIONSTRUCT

VirtualAddress dd ?

SizeOfBlock dd ?

IMAGE_BASE_RELOCATIONENDS

PIMAGE_BASE_RELOCATION typedef ptr IMAGE_BASE_RELOCATION

GetFunctionInformation proto :PUNICODE_STRING,:PUNICODE_STRING,:PFUNCTION_INFORMATION

GetFuncInfoByName proto :PUNICODE_STRING,:PVOID,:PDWORD

GetPEImageBase proto :PVOID

GetPEImageLength proto :PUNICODE_STRING

KLoadLibrary proto :PUNICODE_STRING

ENDIF

;SSDT.inc

;DyanmicHook.inc

IFNDEF __DYNAMICHOOK_INC__

__DYNAMICHOOK_INC__ equ <1>

OPEN_EXISTING equ 3

INVALID_HANDLE_VALUE equ -1

FILE_MAP_READ equ SECTION_MAP_READ

MAX_PATH equ 260

M2M macro M1,M2

push M2

pop M1

ENDM

NT_SUCCESS macro status

mov eax,status

and eax,80000000h

.if eax

mov eax,FALSE

.else

mov eax,TRUE

.endif

ENDM

ENDIF

先贴代码，再来讲原理。根据我们刚才对SSDT的认识，要顺利找到SSDT的位置，首先要确定NtCreateThread的服务序号。不幸的是我尚未找到有效准确的获取方式。我唯一的思路是在ntdll.dll中找到ZwCreateThread，判断如果它的第一字节为0xB8（汇编代码MOV EAX,XXXXXXXX）那么它第二字节开始的双字就是其服务序号。用C语言描述应该是：SysCallIndex = *( (WORD*)((DWORD)GetProcAddress(ntdll,ZwCreateThread)+ 1) );

为此，专门写了PEFile.asm这个文件，这个文件提供了一些函数：

GetFunctionInformation proto :PUNICODE_STRING,:PUNICODE_STRING,:PFUNCTION_INFORMATION

GetFuncInfoByName proto :PUNICODE_STRING,:PVOID,:PDWORD

GetPEImageBase proto :PVOID

GetPEImageLength proto :PUNICODE_STRING

KLoadLibrary proto :PUNICODE_STRING

其中，KLoadLibrary将PE文件按加载到内存中（不是读取到内存中，类似PE加载器一样按照PE结构中的描述对其进行加载，以便通过导出表分析导出函数在内存中的位置），其它几个函数就顾名思义了。这些函数的意思我就不再详细解释，因为这也是我3年前的代码，我也记不得太清楚。有了这几个函数，你就能够理解SSDT.asm中的GetSysCallIndex这个函数的原理。当然，我讲了这是我唯一的思路，也希望大家不吝赐教，把你知道的方法告诉我（你别说用0x35硬编码就行）

确定了NtCreateThread的服务序号，下面我们就要在SSDT中寻找NtCreateThread的存放位置以及原始的函数地址。其实这比获取服务序号简单多了，因为一切秘密都在KeDescriptorTable这个导出符号中。需要注意的是前面我们已经说了，并不是所有系统中内核文件名都叫ntoskrnl.exe，所以先用ZwQuerySystemInformation获取一下当前系统中的内核文件名，通过对导出符号KeDescriptorTable的分析，顺利获得NtCreateThread的真实地址。具体的代码在SSDT.asm中，函数比较少，看名字就懂意思，具体我也不详细解释了，再解释又扯得很远，而且这是我3年前的代码。

好了，打开DebugView，用KmdManager加载一下我们生成的内核程序：

与前面LiveKd看到的一样，貌似一切都很顺利。

这一章就讲完了，下一章我们就完成HookSSDT、UnHookSSDT这两个函数，我们把NtCreateThread函数Hook住，监视一下进程的创建，同时我在下一章告诉大家为什么我极不推荐普通人对SSDT使用Inline Hook，虽然它的功能更加强大！顺便希望大家检查下我的代码，谢谢。

你可能感兴趣的:(应用程序)

在一台Ubuntu计算机上构建Hyperledger Fabric网络落叶无声9 区块链超级账本 Hyperledger fabric 区块链 ubuntu 构建 hyperledger fabric
在一台Ubuntu计算机上构建HyperledgerFabric网络Hyperledgerfabric是一个开源的区块链应用程序平台，为开发基于区块链的应用程序提供了一个起点。当我们提到HyperledgerFabric网络时，我们指的是使用HyperledgerFabric的正在运行的系统。即使只使用最少数量的组件，部署Fabric网络也不是一件容易的事。Fabric社区创建了一个名为Cello
广州会刊小程序开发公司哪家好｜开发多少钱费用｜专业外包服务红匣子实力推荐
在选择广州会刊小程序开发公司时，有几个关键因素需要考虑。首先，您应该确定自己的需求和目标，以便找到最合适的开发公司。其次，您需要考虑公司的经验和专业知识。最后，您还应该考虑公司的信誉和口碑。开发-联系电话：13642679953（微信同号）首先，您应该明确自己的需求和目标。会刊小程序是一种用于展示会议信息和日程安排的应用程序。在选择开发公司之前，您应该明确自己的需求，包括功能要求、设计风格和用户体
简介Shell、zsh、bash zhaosuningsn Shell zsh bash shell linux bash
Shell是Linux和Unix的外壳，类似衣服，负责外界与Linux和Unix内核的交互联系。例如接收终端用户及各种应用程序的命令，把接收的命令翻译成内核能理解的语言，传递给内核，并把内核处理接收的命令的结果返回给外界，即Shell是外界和内核沟通的桥梁或大门。Linux和Unix提供了多种Shell，其中有种bash，当然还有其他好多种。Mac电脑中不但有bash，还有一个zsh，预装的，据说
计算机网络八股总结 Petrichorzncu 八股总结计算机网络笔记
这里写目录标题网络模型划分（五层和七层）及每一层的功能五层网络模型七层网络模型（OSI模型）==三次握手和四次挥手具体过程及原因==三次握手四次挥手TCP/IP协议组成==UDP协议与TCP/IP协议的区别==Http协议相关知识网络地址，子网掩码等相关计算网络模型划分（五层和七层）及每一层的功能五层网络模型应用层：负责处理网络应用程序，如电子邮件、文件传输和网页浏览。主要协议包括HTTP、FTP
效率神器来了：AI工具手把手教你快速提升工作效能 kkai人工智能人工智能学习媒体 ai chatgpt
随着科技的进步，AI工具已经成为提升工作效率的关键手段。本文将介绍一些实用的AI工具和方法，帮助你自动化繁琐的重复性任务、优化数据管理、促进团队协作与沟通，并提升决策质量。背景：OOPAI-免费问答学习交流-GPT自动化重复性任务Zapier：Zapier可以自动化多个应用程序之间的工作流程。例如，它能自动将Gmail中的附件保存至GoogleDrive，或在你发布新文章时，自动分享至社交媒体平台
python实现规则引擎_规则引擎python weixin_39601511 python实现规则引擎
广告关闭回望2020，你在技术之路上，有什么收获和成长么？对于未来，你有什么期待么？云+社区年度征文，各种定制好礼等你！我正在用python编写日志收集分析应用程序，我需要编写一个“规则引擎”来匹配和处理日志消息。它需要具有以下特点：正则表达式匹配消息本身消息严重性优先级的算术比较布尔运算符我设想一个例子规则可能是这样的：(message~program:messageandseverity>=h
SpringBoot和SpringMVC是什么关系?SpringBoot替代SpringMVC了吗? 瑞金彭于晏 spring boot 后端 java MVC spring 数据库
SpringBoot和SpringMVC都是SpringFramework生态系统中的一部分，但它们各自扮演着不同的角色和提供不同的功能集。理解它们之间的关系，首先需要了解SpringFramework本身。SpringFrameworkSpringFramework是一个全面的、开源的应用程序开发框架，它提供了广泛的功能来支持企业应用开发的几乎所有方面。SpringFramework的核心特性之
导致格式错误的 Lambda 代理响应的原因以及如何修复它 zqhdz米时空汇编
当人们尝试使用AWSAPIGateway和AWSLambda构建无服务器应用程序时，经常出现的一个问题是_由于配置错误而执行失败：Lambda代理响应格式错误。_没有什么比通用错误消息更糟糕的了，它们不会告诉您解决问题所需的任何内容，对吧？AWS并不是以其错误消息设计而闻名，如果甚至可以这样称呼它的话，更不用说为您提供解决问题的方法了。那么如何修复这个Lambda错误以及是什么原因造成的呢？花椒壳
Nginx：高性能的Web服务器与反向代理张某布响丸辣 nginx 前端服务器 java SpringBoot
在当今的互联网世界中，Web服务器的选择对于网站的性能、稳定性和安全性至关重要。Nginx（发音为“engineX”）凭借其卓越的性能、丰富的功能集和灵活的配置选项，成为了众多网站和应用程序的首选Web服务器和反向代理。本文将深入探讨Nginx的特点、应用场景、基本配置以及它如何助力你的Web项目。Nginx简介Nginx是一个开源的、高性能的HTTP和反向代理服务器，也是一个IMAP/POP3/
【Python】tkinter及组件如何使用小九不懂SAP 我的Python日记 python 开发语言 tkinter
一、tkinter的应用场景tkinter是Python的标准GUI（图形用户界面）库，它提供了丰富的控件和工具，使得开发者能够轻松创建跨平台的桌面应用程序。以下是一些tkinter的常见应用场景：桌面应用程序开发：开发者可以使用tkinter来创建各种桌面应用程序，如文本编辑器、计算器、图片查看器、游戏等。这些应用程序可以具有复杂的用户界面，包括窗口、按钮、文本框、下拉菜单、滚动条等。数据可视化
【JS】前端文件读取FileReader操作总结程序员-张师傅前端前端 javascript 开发语言
前端文件读取FileReader操作总结FileReader是JavaScript中的一个WebAPI，它允许web应用程序异步读取用户计算机上的文件（或原始数据缓冲区）的内容，例如读取文件以获取其内容，并在不将文件发送到服务器的情况下在客户端使用它。这对于处理图片、文本文件等非常有用，尤其是当你想要在用户界面中即时显示文件内容或进行文件预览时。创建FileReader对象首先，你需要创建一个Fi
Go编程语言前景怎么样？参加培训好就业吗 QFdongdong
Go语言专门针对多处理器系统应用程序的编程进行了优化，使用Go编译的程序可以媲美C或C++代码的速度，而且更加安全、支持并行进程。不仅可以开发web,可以开发底层，目前知乎就是用golang开发。区块链首选语言就是go,以-太坊，超级账本都是基于go语言，还有go语言版本的btcd.Go的目标是希望提升现有编程语言对程序库等依赖性(dependency)的管理，这些软件元素会被应用程序反复调用。由
Go 语言基本架构 Fe_cow丿 Go
Go基本架构一、Go基本架构：packagemainimport"fmt"funcmain(){fmt.Println("hello,world")}go文件的后缀是.go；packagemain：表示文件所在的包是main；每个Go应用程序都包含一个为main的包；所有包名都应该使用小写字母；import“fmt”：表示引入一个包，包名为fmt，引入该包后，就可以使用fmt包的函数；比如：fmt
从单体到微服务：FastAPI ‘挂载’子应用程序的转变黑金IT fastapi 微服务 fastapi 架构
在现代Web应用开发中，模块化架构是一种常见的设计模式，它有助于将大型应用程序分解为更小、更易于管理的部分。FastAPI，作为一个高性能的PythonWeb框架，提供了强大的支持来实现这种模块化设计。通过“挂载”子应用程序，我们可以为不同的功能区域（如前端接口、管理员接口和用户中心）创建独立的应用程序，并将它们整合到一个主应用程序中。本文将详细介绍如何在FastAPI中使用“挂载”子应用程序的方
Kafka详细解析与应用分析芊言芊语 kafka 分布式
Kafka是一个开源的分布式事件流平台（EventStreamingPlatform），由LinkedIn公司最初采用Scala语言开发，并基于ZooKeeper协调管理。如今，Kafka已经被Apache基金会纳入其项目体系，广泛应用于大数据实时处理领域。Kafka凭借其高吞吐量、持久化、分布式和可靠性的特点，成为构建实时流数据管道和流处理应用程序的重要工具。Kafka架构Kafka的架构主要由
连接池的性能如何优化？蜡笔小新星 MySQL 经验分享学习 python mysql 数据库
连接池的性能优化是提高数据库访问效率和应用程序响应速度的关键。以下是一些优化连接池性能的策略：1.选择合适的连接池大小连接池的大小应根据应用程序的并发需求和数据库服务器的处理能力来确定。如果连接池太小，可能会导致线程等待连接；如果连接池太大，可能会消耗过多的系统资源。通常，连接池的大小应该设置为应用程序的并发用户数加上一些额外的连接以处理突发请求。2.设置合理的最小和最大连接数最小连接数（mins
数据库连接池幻影翔
连接池的意义作用：连接池是将已经创建好的连接保存在池中，当有请求来时，直接使用已经创建好的连接对数据库进行访问。这样省略了创建连接和销毁连接的过程。这样性能上得到了提高。连接池放了N个Connection对象，本质上放在内存当中，在内存中划出一块缓存对象，应用程序每次从池里获得Connection对象，而不是直接从数据里获得，这样不占用服务器的内存资源。两种优秀的连接池技术都要实现接口DataSo
electron多标签页模式更像客户端 diygwcom electron javascript 前端
Electron多标签页模式是指在Electron框架中实现的类似Web浏览器的多标签页功能。Electron是一个使用Web技术（HTML、CSS和JavaScript）来创建跨平台桌面应用程序的框架。在Electron中实现多标签页模式，通常需要借助一些特定的库或组件，如BrowserView或electron-tabs，或者通过自定义实现。实现方式1.使用BrowserViewBrowser
Xilinx 7系列FPGA架构之器件配置（一） FPGA技术实战 FPGA器件架构 Xinx FPGA硬件设计 fpga开发
引言：本系列博文描述7系列FPGA配置的技术参考。作为开篇，简要概述了7系列FPGA的配置方法和功能。随后的博文将对每种配置方法和功能进行更详细的描述。本文描述的配置方法和功能适用于所有7系列家族器件，只有少数例外。1.概述Xilinx®7系列FPGA通过将特定于应用程序的配置数据（位流）加载到内存中进行配置。7系列FPGA可以主动从外部非易失性存储设备加载，也可以通过外部智能源（如微处理器、DS
python logging模块默认日志级别_一看就懂，Python 日志 logging 模块详解及应用路易·罗莎 python logging模块默认日志级别
日志概述百度百科的日志概述：Windows网络操作系统都设计有各种各样的日志文件，如应用程序日志，安全日志、系统日志、Scheduler服务日志、FTP日志、WWW日志、DNS服务器日志等等，这些根据你的系统开启的服务的不同而有所不同。我们在系统上进行一些操作时，这些日志文件通常会记录下我们操作的一些相关内容，这些内容对系统安全工作人员相当有用。比如说有人对系统进行了IPC探测，系统就会在安全日志
jdbc连接池怎么工作烟雨国度 java 数据库服务器
是否是否是否开始初始化DruidDataSource应用程序请求连接ThreadLocal中有连接?返回ThreadLocal中的连接从连接池获取新连接将连接存入ThreadLocal执行SQL操作调用closeAll()是否自动提交?归还连接到连接池从ThreadLocal移除连接保持连接不变结束开始事务操作调用begin()设置自动提交为false执行多个SQL操作事务是否成功?调用commi
前端HTML+CSS+JS的入门学习俊昭喜喜里前端 html css
一.HTMLHTML（HyperTextMarkupLanguage）即超文本标记语言，是用于创建网页和网页应用程序的标准标记语言。它不是一种编程语言，而是一种标记语言，通过一系列的元素（elements）来告诉浏览器如何显示网页上的内容，如文本、图片、链接、表格、列表等。HTML文档由一系列的标签（tags）组成，这些标签告诉浏览器如何显示内容。标签通常成对出现，例如和，其中是开始标签，表示一个
LangChain集成指南:如何利用多样化的AI提供商 aehrutktrjk 人工智能 langchain python
LangChain集成指南:如何利用多样化的AI提供商引言在人工智能和机器学习领域,LangChain已成为一个强大而灵活的框架,允许开发者轻松集成各种AI服务提供商。本文将深入探讨LangChain的集成能力,介绍如何利用不同的AI提供商来增强你的应用程序,并提供实用的代码示例。LangChain集成概览LangChain支持多种AI提供商的集成,这些集成可以分为两类:独立包集成:这些提供商有独
Apache HBase基础（基本概述，物理架构，逻辑架构，数据管理，架构特点，HBase Shell） May--J--Oldhu HBase HBase shell hbase物理架构 hbase逻辑架构 hbase
NoSQL综述及ApacheHBase基础一.HBase1.HBase概述2.HBase发展历史3.HBase应用场景3.1增量数据-时间序列数据3.2信息交换-消息传递3.3内容服务-Web后端应用程序3.4HBase应用场景示例4.ApacheHBase生态圈5.HBase物理架构5.1HMaster5.2RegionServer5.3Region和Table6.HBase逻辑架构-Row7.
PCL 点云视窗类CloudViewer LeonDL168 PCL 算法计算机视觉人工智能视觉检测图像处理
点云视窗类CloudViewer是简单显示点云的可视化工具类，可以让用户用尽可能少的代码查看点云。注意：点云视窗类不能应用于多线程应用程序中。简单点云可视化如果用户想用几行代码可视化程序中所对应的地物，可以使用下面的代码：#include//...voidfoo(){pcl::PointCloud::Ptrcloud;//...为cloud添加对应的场景pcl::visualization::Cl
在Python应用程序中使用.env文件管理环境变量手机用户3381415902 学习 python 开发语言
原始地址：https://dev.to/jakewitcher/using-env-files-for-environment-variables-in-python-applications-55a1应用程序被部署后，在开发过程中必须考虑应用程序运行的环境以及应用程序执行任务所需的敏感或环境特定信息。环境变量是软件开发人员向应用程序提供此类信息的关键方式之一，但是如果设置这些变量在本地机器的环境
数据格式：什么是JSON和XML isNotNullX json xml
JSON和XML都是数据交换的一种格式，用于在不同的系统和应用程序之间传输和存储数据。本文将解释JSON和XML的基础内容，并探讨两者的不同。一·什么是JSON？1.JSON（JavaScriptObjectNotation）即JavaScript对象标记法：-JSON是一种轻量级的数据交换格式，易于人阅读和编写，同时也易于机器解析和生成。-JSON基于JavaScript的一个子集，但JSON是
HighCharts图表自动化简介知识的宝藏 Selenium高级篇 Selenium图表自动化测试 highcharts图表自动化 Selenium图表自动化图表自动化测试 highcharts Selenium
什么是分析数据？在任何应用程序中捕获并以图形或图表形式显示的分析数据是任何产品或系统的关键部分，因为它提供了对实时数据的洞察。验证此类分析数据非常重要，因为不准确的数据可能会在报告中产生问题，并可能影响应用程序/系统的其他相关领域。什么是HighChart？Highcharts是一个用纯JavaScript编写的j基于SVG成图技术的图表库，提供了一种简单的方法来向您的网站或Web应用程序添加交互
操作系统简介像风一样自由2020 操作系统 linux ubuntu windows harmonyos
操作系统简介操作系统（OperatingSystem，简称OS）是管理计算机硬件和软件资源的系统软件，为用户和应用程序提供接口。现今，操作系统种类繁多，主要分为桌面操作系统、服务器操作系统和移动操作系统等。以下是对目前存在的主要操作系统的详细介绍。1.Windows简介：Windows是由微软公司开发的系列图形界面操作系统，是全球使用最广泛的桌面操作系统之一。最新版本：截至2023年10月，最新版
Mac 技术篇-应用程序被锁定无法进行卸载问题解决方法，文件、文件夹被锁定无法移入废纸篓处理方法 lq9527_ Mac使用 macos
在卸载Karabiner-Elements和Karabiner-EventViewer软件时，提示应用锁定，无法卸载。参照方法。在进行/bin/ls-dleO@App路径操作后，返回提示信息与链接方法略有区别。/bin/ls-dleO@App路径drwxr-xr-x@3root wheel uchg96 3 1 2022/Applications/Karabiner-Elements.appcom
apache 安装linux windows 墙头上一根草 apache inux windows
linux安装Apache 有两种方式一种是手动安装通过二进制的文件进行安装，另外一种就是通过yum 安装，此中安装方式，需要物理机联网。以下分别介绍两种的安装方式通过二进制文件安装Apache需要的软件有apr,apr-util,pcre 1，安装 apr 下载地址：htt
fill_parent、wrap_content和match_parent的区别 Cb123456 match_parent fill_parent
fill_parent、wrap_content和match_parent的区别: 1）fill_parent 设置一个构件的布局为fill_parent将强制性地使构件扩展，以填充布局单元内尽可能多的空间。这跟Windows控件的dockstyle属性大体一致。设置一个顶部布局或控件为fill_parent将强制性让它布满整个屏幕。 2） wrap_conte
网页自适应设计天子之骄 html css 响应式设计页面自适应
网页自适应设计网页对浏览器窗口的自适应支持变得越来越重要了。自适应响应设计更是异常火爆。再加上移动端的崛起，更是如日中天。以前为了适应不同屏幕分布率和浏览器窗口的扩大和缩小，需要设计几套css样式，用js脚本判断窗口大小，选择加载。结构臃肿，加载负担较大。现笔者经过一定时间的学习，有所心得，故分享于此，加强交流，共同进步。同时希望对大家有所
[sql server] 分组取最大最小常用sql 一炮送你回车库 SQL Server
--分组取最大最小常用sql--测试环境if OBJECT_ID('tb') is not null drop table tb;gocreate table tb( col1 int, col2 int, Fcount int)insert into tbselect 11,20,1 union allselect 11,22,1 union allselect 1
ImageIO写图片输出到硬盘 3213213333332132 java image
package awt; import java.awt.Color; import java.awt.Font; import java.awt.Graphics; import java.awt.image.BufferedImage; import java.io.File; import java.io.IOException; import javax.imagei
自己的String动态数组宝剑锋梅花香 java 动态数组数组
数组还是好说，学过一两门编程语言的就知道，需要注意的是数组声明时需要把大小给它定下来，比如声明一个字符串类型的数组：String str[]=new String[10]; 但是问题就来了，每次都是大小确定的数组，我需要数组大小不固定随时变化怎么办呢？动态数组就这样应运而生，龙哥给我们讲的是自己用代码写动态数组，并非用的ArrayList 看看字符
pinyin4j工具类 darkranger .net
pinyin4j工具类Java工具类 2010-04-24 00:47:00 阅读69 评论0 字号：大中小引入pinyin4j-2.5.0.jar包: pinyin4j是一个功能强悍的汉语拼音工具包，主要是从汉语获取各种格式和需求的拼音，功能强悍，下面看看如何使用pinyin4j。本人以前用AscII编码提取工具，效果不理想，现在用pinyin4j简单实现了一个。功能还不是很完美，
StarUML学习笔记----基本概念 aijuans UML建模
介绍StarUML的基本概念，这些都是有效运用StarUML?所需要的。包括对模型、视图、图、项目、单元、方法、框架、模型块及其差异以及UML轮廓。模型、视与图（Model, View and Diagram） &
Activiti最终总结 avords Activiti id 工作流
1、流程定义ID：ProcessDefinitionId，当定义一个流程就会产生。 2、流程实例ID：ProcessInstanceId，当开始一个具体的流程时就会产生，也就是不同的流程实例ID可能有相同的流程定义ID。 3、TaskId，每一个userTask都会有一个Id这个是存在于流程实例上的。 4、TaskDefinitionKey和（ActivityImpl activityId
从省市区多重级联想到的，react和jquery的差别 bee1314 jquery UI react
在我们的前端项目里经常会用到级联的select，比如省市区这样。通常这种级联大多是动态的。比如先加载了省，点击省加载市，点击市加载区。然后数据通常ajax返回。如果没有数据则说明到了叶子节点。针对这种场景，如果我们使用jquery来实现，要考虑很多的问题，数据部分，以及大量的dom操作。比如这个页面上显示了某个区，这时候我切换省，要把市重新初始化数据，然后区域的部分要从页面
Eclipse快捷键大全 bijian1013 java eclipse 快捷键
Ctrl+1 快速修复(最经典的快捷键,就不用多说了)Ctrl+D: 删除当前行 Ctrl+Alt+↓ 复制当前行到下一行(复制增加)Ctrl+Alt+↑ 复制当前行到上一行(复制增加)Alt+↓ 当前行和下面一行交互位置(特别实用,可以省去先剪切,再粘贴了)Alt+↑ 当前行和上面一行交互位置(同上)Alt+← 前一个编辑的页面Alt+→ 下一个编辑的页面(当然是针对上面那条来说了)Alt+En
js 笔记函数征客丶 JavaScript
一、函数的使用 1.1、定义函数变量 var vName = funcation(params){ } 1.2、函数的调用函数变量的调用： vName(params); 函数定义时自发调用：(function(params){})(params); 1.3、函数中变量赋值 var a = 'a'; var ff
【Scala四】分析Spark源代码总结的Scala语法二 bit1129 scala
1. Some操作在下面的代码中，使用了Some操作：if (self.partitioner == Some(partitioner))，那么Some(partitioner)表示什么含义？首先partitioner是方法combineByKey传入的变量， Some的文档说明： /** Class `Some[A]` represents existin
java 匿名内部类 BlueSkator java匿名内部类
组合优先于继承 Java的匿名类，就是提供了一个快捷方便的手段，令继承关系可以方便地变成组合关系继承只有一个时候才能用，当你要求子类的实例可以替代父类实例的位置时才可以用继承。在Java中内部类主要分为成员内部类、局部内部类、匿名内部类、静态内部类。内部类不是很好理解，但说白了其实也就是一个类中还包含着另外一个类如同一个人是由大脑、肢体、器官等身体结果组成，而内部类相
盗版win装在MAC有害发热，苹果的东西不值得买，win应该不用 ljy325 游戏 apple windows XP OS
Mac mini 型号: MC270CH-A RMB:5,688 Apple 对windows的产品支持不好,有以下问题: 1.装完了xp,发现机身很热虽然没有运行任何程序！貌似显卡跑游戏发热一样，按照那样的发热量,那部机子损耗很大,使用寿命受到严重的影响! 2.反观安装了Mac os的展示机，发热量很小，运行了1天温度也没有那么高 &nbs
读《研磨设计模式》-代码笔记-生成器模式-Builder bylijinnan java 设计模式
声明：本文只为方便我个人查阅和理解，详细的分析以及源代码请移步原作者的博客http://chjavach.iteye.com/ /** * 生成器模式的意图在于将一个复杂的构建与其表示相分离，使得同样的构建过程可以创建不同的表示（GoF） * 个人理解： * 构建一个复杂的对象，对于创建者（Builder）来说，一是要有数据来源(rawData)，二是要返回构
JIRA与SVN插件安装 chenyu19891124 SVN jira
JIRA安装好后提交代码并要显示在JIRA上，这得需要用SVN的插件才能看见开发人员提交的代码。 1.下载svn与jira插件安装包，解压后在安装包(atlassian-jira-subversion-plugin-0.10.1) 2.解压出来的包里下的lib文件夹下的jar拷贝到(C:\Program Files\Atlassian\JIRA 4.3.4\atlassian-jira\WEB
常用数学思想方法 comsci 工作
对于搞工程和技术的朋友来讲，在工作中常常遇到一些实际问题，而采用常规的思维方式无法很好的解决这些问题，那么这个时候我们就需要用数学语言和数学工具，而使用数学工具的前提却是用数学思想的方法来描述问题。。下面转帖几种常用的数学思想方法，仅供学习和参考函数思想　　把某一数学问题用函数表示出来，并且利用函数探究这个问题的一般规律。这是最基本、最常用的数学方法
pl/sql集合类型 daizj oracle 集合 type pl/sql
--集合类型 /* 单行单列的数据，使用标量变量单行多列数据，使用记录单列多行数据，使用集合（。。。） *集合：类似于数组也就是。pl/sql集合类型包括索引表（pl/sql table）、嵌套表（Nested Table）、变长数组（VARRAY）等 */ /* --集合方法 &n
[Ofbiz]ofbiz初用 dinguangx 电商 ofbiz
从github下载最新的ofbiz（截止2015-7-13），从源码进行ofbiz的试用 1. 加载测试库 ofbiz内置derby，通过下面的命令初始化测试库 ./ant load-demo (与load-seed有一些区别) 2. 启动内置tomcat ./ant start 或 ./startofbiz.sh 或 java -jar ofbiz.jar &
结构体中最后一个元素是长度为0的数组 dcj3sjt126com c gcc
在Linux源代码中，有很多的结构体最后都定义了一个元素个数为0个的数组，如/usr/include/linux/if_pppox.h中有这样一个结构体： struct pppoe_tag { __u16 tag_type; __u16 tag_len; &n
Linux cp 实现强行覆盖 dcj3sjt126com linux
发现在Fedora 10 /ubutun 里面用cp -fr src dest，即使加了-f也是不能强行覆盖的，这时怎么回事的呢？一两个文件还好说，就输几个yes吧，但是要是n多文件怎么办，那还不输死人呢？下面提供三种解决办法。方法一我们输入alias命令，看看系统给cp起了一个什么别名。 [root@localhost ~]# aliasalias cp=’cp -i’a
Memcached(一)、HelloWorld frank1234 memcached
一、简介高性能的架构离不开缓存，分布式缓存中的佼佼者当属memcached，它通过客户端将不同的key hash到不同的memcached服务器中，而获取的时候也到相同的服务器中获取，由于不需要做集群同步，也就省去了集群间同步的开销和延迟，所以它相对于ehcache等缓存来说能更好的支持分布式应用，具有更强的横向伸缩能力。二、客户端选择一个memcached客户端，我这里用的是memc
Search in Rotated Sorted Array II hcx2013 search
Follow up for "Search in Rotated Sorted Array":What if duplicates are allowed? Would this affect the run-time complexity? How and why? Write a function to determine if a given ta
Spring4新特性——更好的Java泛型操作API jinnianshilongnian spring4 generic type
Spring4新特性——泛型限定式依赖注入 Spring4新特性——核心容器的其他改进 Spring4新特性——Web开发的增强 Spring4新特性——集成Bean Validation 1.1(JSR-349)到SpringMVC Spring4新特性——Groovy Bean定义DSL Spring4新特性——更好的Java泛型操作API Spring4新
CentOS安装JDK liuxingguome centos
1、行卸载原来的： [root@localhost opt]# rpm -qa | grep java tzdata-java-2014g-1.el6.noarch java-1.7.0-openjdk-1.7.0.65-2.5.1.2.el6_5.x86_64 java-1.6.0-openjdk-1.6.0.0-11.1.13.4.el6.x86_64 [root@localhost
二分搜索专题2-在有序二维数组中搜索一个元素 OpenMind 二维数组算法二分搜索
1,设二维数组p的每行每列都按照下标递增的顺序递增。用数学语言描述如下：p满足 (1),对任意的x1，x2，y，如果x1<x2,则p(x1,y)<p(x2,y); (2),对任意的x，y1,y2, 如果y1<y2,则p(x,y1)<p(x,y2); 2,问题：给定满足1的数组p和一个整数k，求是否存在x0,y0使得p(x0,y0)=k? 3,算法分析： (
java 随机数 Math与Random SaraWon java Math Random
今天需要在程序中产生随机数，知道有两种方法可以使用，但是使用Math和Random的区别还不是特别清楚，看到一篇文章是关于的，觉得写的还挺不错的，原文地址是 http://www.oschina.net/question/157182_45274?sort=default&p=1#answers 产生1到10之间的随机数的两种实现方式： //Math Math.roun
oracle创建表空间 tugn oracle
create temporary tablespace TXSJ_TEMP tempfile 'E:\Oracle\oradata\TXSJ_TEMP.dbf' size 32m autoextend on next 32m maxsize 2048m extent m
使用Java8实现自己的个性化搜索引擎 yangshangchuan java superword 搜索引擎 java8 全文检索
需要对249本软件著作实现句子级别全文检索，这些著作均为PDF文件，不使用现有的框架如lucene，自己实现的方法如下： 1、从PDF文件中提取文本，这里的重点是如何最大可能地还原文本。提取之后的文本，一个句子一行保存为文本文件。 2、将所有文本文件合并为一个单一的文本文件，这样，每一个句子就有一个唯一行号。 3、对每一行文本进行分词，建立倒排表，倒排表的格式为：词=包含该词的总行数N=行号

内核态下基于动态感染技术的应用程序执行保护（三 获取SSDT）

你可能感兴趣的:(应用程序)

内核态下基于动态感染技术的应用程序执行保护（三获取SSDT）