(ring0)

Windows内存体系结构

应用程序是在用户模式下(Ring3),驱动为内核模式(Ring0)。               (Ring0权限获取)二、CPU只能访问内存上的数据。所以当要访问地址空间的一个数据时,
pvlking·2014-01-03 16:00

VB6实现Ring3下直接调用Ring0层函数,反一切R3下API Hook。

接论坛帖子:http://topic.csdn.net/u/20120518/18/9a00ec5c-b3d1-4a1f-9bc1-ba1a47b52463.html例子应用如下。我只是给一个方法给大家,这个方法肯定很麻烦,有需求的人可以用。添加Module1[vb] viewplaincopyPrivate asm_CallCode() As Byte, KiFastSystemCall&, K
sdgaojian·2013-12-29 19:00

Windows系统调用架构分析—也谈KiFastCallEntry函数地址的获取 .

因为最近在学习《软件调试》这本书,看到书中的某个调试历程中讲了Windows的系统调用的实现机制,其中讲到了从Ring3跳转到Ring0之后直接进入了KiFastCallEntry这个函数。
wzsy·2013-12-27 11:00

应用层与驱动层同步事件处理方法

Ring3与Ring0同步是很有用的手段,在此做一个简要的整理,希望对开发这方面程序的朋友有帮助,好了,开始吧。            
jay900323·2013-11-20 15:00

ring0下的 fs:[124]

  反汇编内核函数的时候经常会看到moveax,fs:[124].一直没弄清楚fs寄存器在ring0存放的是什么。今天查了下资料。   
whatday·2013-11-14 16:00

ring0下的 fs:[124]

  反汇编内核函数的时候经常会看到moveax,fs:[124].一直没弄清楚fs寄存器在ring0存放的是什么。今天查了下资料。   
飘雪超人·2013-11-14 16:00

Windows 中 FS 段寄存器

代码运行在RING0(系统地址空间)和RING3(用户地址空间)时,FS段寄存器分别指向GDT(全局描述符表)中不同段:在RING3下,FS段值是0x3B(这是WindowsXP下值;在Windows2000
飘雪超人·2013-11-06 13:00

Windows 中 FS 段寄存器

代码运行在RING0(系统地址空间)和RING3(用户地址空间)时,FS段寄存器分别指向GDT(全局描述符表)中不同段:在RING3下,FS段值是0x3B(这是WindowsXP下值;在Windows2000
whatday·2013-11-06 13:00

挂钩 NtResumeThread 实现全局Hook

似乎Hook都被讲烂了,不论是Ring3的还是Ring0的网上都有例子。Ring0的毋庸置疑当然是全局的了,这里说说ring3的全局hook。
u013805103·2013-10-21 01:00

API拦截——实现Ring3全局HOOK

由于windows的copy-on-write机制(Ring0下可以用CR0寄存器关掉它),Ring3下的HOOK只对当前进程有效,其他进程的API还是正常的。
u013805103·2013-10-21 00:00

从进程到内核---ring3到ring0

这次我们用中断来实现从ring3到ring0的跳转,当我们用中断门实现从ring3到ring0的转移时,会从TSS加载ring0的堆栈STACKR0,然后将调用者ring3的ss、esp压入新堆栈STACKR0
guocaigao·2013-10-10 13:00

一个简单的进程----跳到ring3

我们用iret指令,不过在这之前我们要准备好ring3的堆栈,设置ring3的代码段,为了能在ring3模式下能够打印我们还要修改视频段,还记得前面《ring0到ring3》是如何做的吗?
guocaigao·2013-10-09 17:00

获取当前进程/线程的ID、句柄和内核地址

获取当前进程/线程的ID、句柄和内核地址 在用户态(RING3)和内核态(RING0)下,获取这些值的函数是不同的,而且这些函数的实现原理也是不同的,下面做个小结: 1.用户态(RING3)下 2.内核态
whatday·2013-09-21 10:00

获取当前进程/线程的ID、句柄和内核地址

获取当前进程/线程的ID、句柄和内核地址 在用户态(RING3)和内核态(RING0)下,获取这些值的函数是不同的,而且这些函数的实现原理也是不同的,下面做个小结: 1.用户态(RING3)下 2.内核态
飘雪超人·2013-09-21 10:00

在windows上模拟linux环境

下的程序模拟实现linux下的功能,缺点:与实际linux环境有差异,并且功能模拟不完全,容易出现冲突  3.colinux/andlinux等模拟环境,通过使用一种特殊的驱动程序,使得模拟环境可以运行在ring0
wwl33695·2013-09-06 16:49

VC++实现恢复SSDT

这个表就是一个把ring3的Win32API和ring0的内核API联系起来。SSDT并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。
飘雪超人·2013-09-04 10:00

VC++实现恢复SSDT

这个表就是一个把ring3的Win32API和ring0的内核API联系起来。SSDT并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。
whatday·2013-09-04 10:00

Olldbg常见问题

SoftICE是一款经典的调试工具,运行在Ring0级,可以调试驱动。
thanklife·2013-09-03 13:00

函数ZwQuerySystemInformation小结

NTDLL.DLL负责ring3与ring0之间的通信。当使用子系统方式进行系统调用的时候,ntdll.dll和SSDT会配合使用。
飘雪超人·2013-08-07 10:00

SSDT Hook实现内核级的进程保护

这个表就是一个把Ring3的Win32API和Ring0的内核API联系起来。SSDT并不
php_fly·2013-06-29 17:00

Ring3转入Ring0跟踪

通过反汇编跟踪一个API函数从Ring3层到Ring0层的具体执行过程,有助于我们加深对相关内核Hook技术的理解。
php_fly·2013-06-26 16:00

Linux 内核态与用户态

内核态:Ring0在处理器的存储保护中,核心态,或者特权态(与之相对应的是用户态),是操作系统内核所运行的模式。运行在该模
xifeijian·2013-06-12 22:00

内核态与用户态

Ring0级别最高,Ring3最低。其中特权级0(Ring0)是留给操作系统代码,设备驱动程序代码使用的,它们工作于系统核心态;而特权极3(Ring3)则给普通的用户程序使用,它们工作在用户态。
QuitePig·2013-06-11 15:00

SSDT Hook的妙用-对抗ring0 inline hook

SSDTHook的妙用-对抗ring0inlinehook 标题:【转载】SSDTHook的妙用-对抗ring0inlinehook作者:堕落天才时间:2007-03-10,15:18链接:http://bbs.pediy.com/showthread.php?threadid=40832*******************************************************
jhonguy·2013-06-01 18:00

expriment: 找API的特征码

Demo中的例子是找PspTerminateProcess,基于WinXp的.虚拟机是Win7X86家庭普通版,ring0中没有这个API.kd>uPspTerminateProcess Couldn'tresolveerrorat'PspTerminateProcess
·2013-05-06 20:00

SSDT

这个表就是一个把ring3的Win32API和ring0的内核API联系起来。SSDT并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。通过修改此
·2013-05-06 13:00

Windows系统调用架构分析—也谈KiFastCallEntry函数地址的获取

原文地址:点击打开链接为什么要写这篇文章1.因为最近在学习《软件调试》这本书,看到书中的某个调试历程中讲了Windows的系统调用的实现机制,其中讲到了从Ring3跳转到Ring0之后直接进入了KiFastCallEntry
programmingring·2013-04-13 23:16

Orange's 进程间通信

    新增一个系统进程,和TESTA进行通信,通信的流程是这样的,如果首先执行到系统进程,发送消息,那么会触发内中断到ring0级,完成发送所需要的动作,之后回到系统进程。
jltxgcy·2013-04-10 20:00

Windows系统调用架构分析—也谈KiFastCallEntry函数地址的获取

因为最近在学习《软件调试》这本书,看到书中的某个调试历程中讲了Windows的系统调用的实现机制,其中讲到了从Ring3跳转到Ring0之后直接进入了KiFastCallEntry这个函数。
fsjaky·2013-04-09 19:00

Orange's TTY

当遇到系统调用,切换到ring0,执行到内核态不能被时钟中断打断,执行后返回刚才的进程。    每遇到有键盘输入,和上面
jltxgcy·2013-04-07 11:00

Orange's 进程

IDTPTR    2、初始化8259,初始化IDT,初始化GDT中的TSS和LDT两个描述符,以及初始化TSS    3、初始化进程表,指定时钟中断处理程序,让8259可以接受中断,restart开始从ring0
jltxgcy·2013-04-01 19:00

SSDT Hook的妙用-对抗ring0 inline hook

1,SSDT     SSDT即系统服务描述符表,它的结构如下(参考《Undocument Windows 2000 Secretes》第二章):     typedef struct _SYSTEM_SERVICE_TABLE     {       PVOID   ServiceTableBase;        //这个指向系统服务函数地址表       PULONG  ServiceCou
yeahhook·2013-03-28 10:00

城里城外看SSDT

挂钩、进程注入等技术已然成为昨日黄花,大有逐渐淡出之势;取而代之的,则是更狠毒、更为赤裸裸的词汇:驱动、隐藏进程、Rootkit……在这篇文章里,李马首度从ring3(应用层)的围城跨出,一跃而投身于ring0
yeahhook·2013-03-28 09:00

linux、内核源码、内核编译与配置、内核模块开发、内核启动流程

答:有关CPU体系结构,各处理器可以有多种模式,而LInux这样的划分是考虑到系统的安全性,比如X86可以有4种模式RING0~RING3 RING0特权模式给LINUX内核空间RING3给用户空间linux
mrjy1475726263·2013-01-22 22:00

特权级--ring3到ring0

还记得吗?我们用调用门和lcall指令实现特权级由低到高的转移.假设我们想由代码A转移到代码B,运用一个调用门G,即调用门G中的目标选择子指向代码B的段。实际上我们要考虑4个要素:CPL、RPL、DPL_B(代码B的DPL)、DPL_G(调用门G的DPL)。第一步,当A访问调用门G时,规则相当于访问一个数据段,要求CPL和RPL都小于或者等于DPL_G.也就是CPL和RPL需要在更高的特权级上。第
guocaigao·2013-01-15 17:00

Linux0.11内核--内核态与用户态

内核态与用户态intelx86 架构的 CPU 分 Ring0-Ring3 三种级别的运行模式,Ring0级别最高,Ring3 最低。 
X_White·2013-01-02 21:00

用Visual studio11在Windows8上开发驱动实现注册表监控和过滤

在NT中几乎不太可能进入真正的ring0层。在WindowsNT中,存在三种DeviceDriver: 1.“VirtualdeviceDriver”(V
abcpanpeng·2013-01-01 13:00

用Visual studio11在Windows8上开发驱动实现内存填0杀进程

在NT中几乎不太可能进入真正的ring0层。在WindowsNT中,存在三种DeviceDriver: 1.“VirtualdeviceDriver”(V
abcpanpeng·2013-01-01 13:00

如何看待操作系统的用户空间和内核空间

稍有微机原理基础的人都知道IntelX86体系的CPU提供了四种特权模式ring0~ring3,其中ring0特权最高,ring3的特权最低,之所以要做这样的区分一个主要目的是保护资源,通俗来讲要保护的资源无非就是
evsqiezi·2012-12-28 10:00

SSDT Hook的妙用-对抗ring0 inline hook

********************************************************标题:【原创】SSDT Hook的妙用-对抗ring0 inline hook  **作者
LiSteven·2012-12-20 09:00

Linux0.11内核--内核态与用户态

http://blog.csdn.net/yming0221/article/details/6314220内核态与用户态intelx86架构的CPU分Ring0-Ring3三种级别的运行模式,Ring0
junmuzi·2012-11-25 15:00

用Visual studio11在Windows8上开发驱动实现内存填0杀进程

在NT中几乎不太可能进入真正的ring0层。 在WindowsNT中,存在三种DeviceDriver: 1.“VirtualdeviceDriver”(
yincheng01·2012-10-24 15:00

用Visual studio11在Windows8上开发驱动实现注册表监控和过滤

在NT中几乎不太可能进入真正的ring0层。 在WindowsNT中,存在三种DeviceDriver: 1.“VirtualdeviceDriver”(
yincheng01·2012-10-24 15:00

用Visual studio11在Windows8上开发内核驱动隐藏注册表

在NT中几乎不太可能进入真正的ring0层。 在WindowsNT中,存在三种DeviceDriver: 1.“VirtualdeviceDriver”(
yincheng01·2012-10-24 15:00

用Visual studio11在Windows8上开发内核枚举注册表

在NT中几乎不太可能进入真正的ring0层。 在WindowsNT中,存在三种DeviceDriver: 1.“VirtualdeviceDriver”(
yincheng01·2012-10-24 15:00

VC++实现恢复SSDT

这个表就是一个把ring3的Win32API和ring0的内核API联系起来。SSDT并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。
yincheng01·2012-10-24 15:00

操作系统中Kernel Mode和User Mode的区别

当CPU运行于Kernelmode时,任务可以执行特权级指令,对任何I/O设备有全部的访问权,还能够访问任何虚拟地址和控制虚拟内存硬件;这种模式对应x86的ring0层,操作系统的核心部分,包括设备驱动程序都运行在该模式
zhuxiaoyang2000·2012-10-09 14:00

东辉主动防御

效果如图:分析:DataStruct.h自定义数据接口:运行模式枚举类型、防御状态类型、被保护注册表信息、被保护文件信息、白名单结构体、保存被hook的nativeAPI函数信息(Ring0使用)、保存被
banketree·2012-10-02 18:00

内核态和用户态的区别

Ring0级别最高,Ring3最低。当一个任务(进程)执行系统调用而陷入内核代码中执行时,我们就称进程处于内核运行态(或简称为内核态)。此时处理器处于特权级最高的(0级)内核代码中执行。
Naruto_ahu·2012-09-23 21:00

内核态和用户态的区别

Ring0级别最高,Ring3最低。当一个任务(进程)执行系统调用而陷入内核代码中执行时,我们就称进程处于内核运行态(或简称为内核态)。此时处理器处于特权级最高的(0级)内核代码中执行。
fivedoumi·2012-08-28 20:00
上一页 2 3 4 5 6 7 8 9 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他