[windows内核]

Windows内核安全与驱动开发》 2.3 重要的数据结构

Windows内核安全与驱动开发》阅读笔记--索引目录《Windows内核安全与驱动开发》2.3重要的数据结构一、驱动对象Windows内核采用__的编程方式。
OneTrainee·2019-12-06 09:00

Windows内核安全与驱动开发》阅读笔记 -- 索引目录

Windows内核安全与驱动开发》阅读笔记--索引目录一、内核上机指导二、内核编程环境及其特殊性2.1内核编程的环境2.2数据类型2.3重要的数据结构2.4函数调用2.5Windows的驱动开发模型2.6WDK
OneTrainee·2019-12-06 09:00

内存断点与硬件断点

Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html内存断点与硬件断点一、内存断点内存断点的本质是修改页属性,触发页异常,
OneTrainee·2019-12-05 09:00

INT 3 中断调试处理流程

Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.htmlINT3中断调试处理流程一、调试器如何下INT3断点1)首先,调试器使用
OneTrainee·2019-12-04 17:00

R3环申请内存时页面保护与_MMVAD_FLAGS.Protection位的对应关系

Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html技术学习来源:火哥(QQ:471194425)R3环申请内存时页面保护与
OneTrainee·2019-10-27 20:00

存储物理页属性的PFN数据库

Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html存储物理页属性的PFN数据库一、PFN的基础概念页帧:即CPU的分页,
OneTrainee·2019-10-24 09:00

windows下串口过滤

主要参考windows内核安全与驱动开发的第七章实现原理如下图源码如下//////@filecomcap.c///@authorcrazy_chu///@date2008-6-18///#include
^卿^·2019-10-22 22:53

保护模式中的PDE与PTE

Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html保护模式中的PDE与PTE1.PDE与PTE的认知我们在上一节,10-
OneTrainee·2019-10-22 20:00

保护模式101012分页机制

Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html保护模式101012分页机制在保护模式中,我们都知道,所谓的内存地址是虚拟地址
OneTrainee·2019-10-22 19:00

Windows系统调用中的系统服务表描述符(SSDT)

Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.htmlWindows系统调用中的系统服务表描述符(SSDT)在前面,我们将解过系统服务表
OneTrainee·2019-10-22 00:00

Windows系统调用中的系统服务表

Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.htmlWindows系统调用中的系统服务表如果这部分不理解,可以查看Windows
OneTrainee·2019-10-21 15:00

Windows系统调用中的现场保存

Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.htmlWindows系统调用中的现场保存我们之前介绍过三环进零环的步骤,通过中断或者快速调用来实现
雨落无影·2019-10-20 20:33

Windows系统调用中的现场保存

Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.htmlWindows系统调用中的现场保存我们之前介绍过三环进零环的步骤,通过中断或者快速调用来实现
OneTrainee·2019-10-20 11:00

Windows系统调用中API从3环到0环(下)

Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.htmlWindows系统调用中API从3环到0环(下)如果对API在三环的部分不了解的
OneTrainee·2019-10-19 23:00

Windows系统调用中API从3环到0环(上)

Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.htmlWindows系统调用中API从3环到0环(上)如果对API在三环的部分不了解的
OneTrainee·2019-10-19 21:00

Windows系统调用中API的3环部分(依据分析重写ReadProcessMemory函数)

Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.htmlWindows系统调用中API的3环部分一、R3环API分析的重要性Windows
OneTrainee·2019-10-19 17:00

Windows中0环与3环通信(常规方式)

Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html一、知识点讲解1.设备对象我们在开发窗口程序的时候,消息被封装成一个结构体
OneTrainee·2019-10-15 21:00

内核空间与内核模块

Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html一、内核空间分布:在4GB内存的操作系统中,高2G的给内存空间操作系统使用
OneTrainee·2019-10-15 18:00

Windows下如何调试驱动程序

Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html一、配置Windbg使用双机调试win10中“windbg+vmware
OneTrainee·2019-10-15 15:00

Windows内核编程时的习惯与注意事项

Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html一、内核编程注意细节:在头文件中使用的是,而非普通的。
OneTrainee·2019-10-15 11:00

[Windows内核分析]KPCR结构体介绍 (CPU控制区 Processor Control Region)

Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html逆向分析操作系统内核代码至少需要具备两项技能:段页汇编代码非常懂。
OneTrainee·2019-10-15 07:00

完成端口

“完成端口"利用windows内核来进行I/O的调度,是用于C/S通信模式中性能最好的通信模型,其提出的初衷是解决一个线程一个客户端的缺点,采用少量几个线程处理和客户端的通信,消除无谓的线程上下文切换.
快牵着我的袜子·2019-09-02 17:00

Windows内核原理-同步IO与异步IO

Windows内核原理-同步IO与异步IO[TOC]背景在前段时间检查异常连接导致的内存泄漏排查的过程中,主要涉及到了windows异步I/O相关的知识,看了许多包括重叠I/O、完成端口、IRP、设备驱动程序等
杰哥很忙·2019-08-27 22:00

程序员的自我修养 Liunx多线程

Liunx的多线程  Windows对进程和线程的实现如同教科书一般标准,Windows内核有明确的线程和进程的概念。
one_zheng·2019-08-04 16:22

winPE简述

而WinPE是一个只有Windows内核,并运行在内存中的迷你系统。这样我们可以完全摆脱正在使用的系统无法格式化重装,或者无法进入系统备份重要文件。
不如云·2019-06-24 18:25

Windows内核对象,句柄表10

这块算是基本搞明白了...常用命令查看所有进程基本信息:!process00查看进程eprocess:dt_eprocessfffffa801aaae060含有_handle_tabletypedefstruct_HANDLE_TABLE//17elements,0x80bytes(sizeof){/*0x000*/ULONG32NextHandleNeedingPool;/*0x004*/LON
fIappy·2019-06-10 09:01

对于fuzz的一些想法

fuzzwindows内核:1.选定目标2.查看相关APIS(syscall)3.理解正常调用APIS(先从create之类的函数入手这些函数一般是其他函数的前调,选定特殊APIfuzz)4.逆向调试保证覆盖率
HopeBsod·2019-05-26 17:15

Win10 Mobile Build 15063.1805累积更新推送

此更新可能包括MicrosoftEdge、Windows存储和文件系统、Windows内核、Windows应用程序平台和框
佚名·2019-05-16 16:42

编写高质量代码改善C#程序的157个建议摘要1:语言篇2

第4章资源管理和序列化建议46:显示释放资源需继承接口IDisposable(1)托管资源:由CLR管理分配和释放的资源,即从CLR中new出来的对象;非托管资源:不受CLR管理的对象,如Windows
xhubobo·2019-04-23 14:55

Windows 10是用什么语言写的?有多少行代码?

Windows内核主要是C写的,有500多G。作者:AxelRietschin编译:码农翻身这是微软的内核工程师AxelRietschin在Quora的一个回答。
码农翻身·2019-04-23 08:00

20189307《网络攻防》第七周作业

内核态:windows执行体、windows内核体、设备驱动程序、硬件抽象层、windows窗口与图形界面接口。用户态:系统支持进程、环境子系统服务进程、服务进程、用户应用软件、核心子系统DLL。
20189307谢定邦·2019-04-14 16:00

20189222 《网络攻防实践》 第七周作业

内核态:windows执行体、windows内核体、设备驱动程序、硬件抽象层、windows窗口与图形界面接口。用户态:系统支持进程、环境子系统服务进程、服务进程、用户应用软件、核心子系统DLL
20189222·2019-04-14 14:00

20189313《网络攻防》第七周作业

内核基本模块分为:Windows执行体、Windows内核体、设备驱动程序、硬件抽象层、Windows窗口与图形界面内核实现代码、系统支持进程、环境子系统服务
Big_Chuan·2019-04-14 09:00

《网络攻防实践》第七次作业

教材学习windows操作系统的基本框架Windows操作系统内核基本模块:Windows执行体Windows内核体设备驱动程序硬件抽象层Windows窗口与图形界面接口内核实现代码系统支持进程环境子系统服务进程服务进程用户应用软件核心子系统
20189223·2019-04-11 20:00

windows下分页机制浅谈

引子: 一直在研究恶意代码方向与逆向软件方向,面试聊了windows内核与保护模式相关知识,有很多没有回答上来,确实研究过相关资料,但是没有深入研究,加上长时间没有复习,有些遗忘了 基本功不扎实,毕竟好久没写过驱动编程与复习内核
长路慢·2019-03-24 20:30

ETW注册表监控windows内核实现原理

Window7以及以上系统的ETW日志自带了一个注册表日志信息的输出,在windows事件查看器的MicrosoftWindowsKernelRegistry/Analytic可以看到并且开启或者关闭注册表日志,它的监控操作包括CreateKey_Opt,OpenKey_Opt,DeleteKey_Opt,QueryKey_Opt,SetValueKey_Opt,DeleteValueKey_Op
看雪学院·2019-03-06 18:46

Windows内核调试:windbg双机实机联调总结

术语定义主机端(Host):Debugger,用于控制调试的主控端。目标端(Target):Debuggee,被控端、被调试端。调试方式在微软MSDN官网上,有详细记载着内核双机调试的所有方案:https://docs.microsoft.com/en-us/windows-hardware/drivers/debugger/setting-up-kernel-mode-debugging-in-
copyist·2019-02-20 13:17

从hook开始聊聊那些windows内核数据结构

总览:IATHOOKObjectHookSsdtHook源码内核知识及源码内核知识级源码一、IATHOOK: 因为上一篇博客对已经对IATHook基本流程及作用进行了介绍,希望能先学懂PE再来看IATHook.下面贴上Iathook的源码,源码中有详细的注释,还记着为什么不能结束360的进程吗?参考思路如下图(因为写代码的时候解决方案写到了源码中,不粘贴复制过来了): 以下代码是DLL注入+iat
长路慢·2019-01-16 16:03

说说windows内核中为什么要隐藏线程?

一、论: 接着上一篇来谈谈,进程都能隐藏,单独隐藏进程中的某一个线程干啥?二、需求: 需求源动力,就是有需求,除了正儿八经热爱喜欢专研的朋友,无利无名、无食而学日不思,真的让人很尊敬。三、打个比方: 当你想要去实现隐藏线程的时候你有可能在干什么?做一个工具?或者说是学习?通过隐藏线程可以更深入理解windows内部原理?进程与线程之间的关系?一个正常进程里面包含恶意线程?这是一个很棒的学习方式。也
长路慢·2019-01-08 11:14

说说windows内核中为什么要隐藏进程?

 好久没有写博客了,最近抽时间把这些杂碎零散的知识梳理下来,分享给更多朋友去找乐子,在草稿箱里面仍了好几天忘发了。接下来谈谈本篇主题,隐藏两字。一、隐藏意味着什么? 不想被人发现呗,人性如此,亦是如此。二、为什么要隐藏? 其实个人觉着这是根本,好好写个程序你为什么要隐藏自己的进程、线程?为啥?无非你不想让别人知道,或者不该让别人知道。windwos下有很多未公开的东西,这是隐藏。面对对象程序设计封
长路慢·2019-01-08 10:20

分割文件全路径中的目录与文件名(C语言,windows内核

函数定义//分割目录全路径与文件名VOIDSplitString(PUNICODE_STRINGFullPath,PWCHARfilePath,WCHARfileName[]){PWCHARp=FullPath->Buffer;inti=wcslen(p)-1;intcount=i;intj=0;while(p[i]!='\\'){fileName[j]=p[i];i--;j++;}WCHARtm
icedxu·2018-12-20 15:33

[2]windows内核情景分析--系统调用

Windows的地址空间分用户模式与内核模式,低2GB的部分叫用户模式,高2G的部分叫内核模式,位于用户空间的代码不能访问内核空间,位于内核空间的代码却可以访问用户空间一个线程的运行状态分内核态与用户态,当指令位于用户空间时,就表示当前处于内核态,当指令位于内核空间时,就处于内核态.一个线程由用户态进入内核态的途径有3种典型的方式:1、主动通过int2e(软中断自陷方式)或sysenter指令(快
jadeshu·2018-12-17 21:30

MS15-051 修正版Exploit(Webshell可用)

MS15-051简介:Windows内核模式驱动程序中的漏洞可能允许特权提升(3057191),如果攻击者在本地登录并可以在内核模式下运行任意代码,最严重的漏洞可能允许特权提升。
大方子·2018-10-06 23:18

企业如何选型防泄密系统,重点防止机密文件泄密

像是有些系统是通过进驻windows内核的防泄密系统可以和windows内核无缝对接起来,不对数据进行修改只是在数据外部增加加密外壳,这样数据到了外部设备因为不被许可所以无法打开,做到了防止文件泄密。
海宇勇创·2018-09-25 17:43

Windows内核模式下的线程同步

Windwos下内核模式/用户模式实现线程同步的比较在用户模式下进行线程同步的最大好处就是非常快。利用内核对象进行线程同步时,调用线程必须从用户模式切换到内核模式,此过程相对挺慢的需要在多个进程间进行线程同步时或者线程同步时希望设置超时时间,那么只能利用内核对象进行线程同步常用等待函数函数功能WaitForSingleObjectWaitsuntilthespecifiedobjectisinth
szn好色仙人·2018-08-11 16:24

"HK"日常之冻结术

在那遥远的MSDN上,有那么一只被隐藏的函数,它掌管着Windows内核威力不容小觑~本教程仅作为学习研究,禁止其他用途!
TwilightLemon·2018-07-14 20:00

[王垠系列]《完全用Linux工作》

这篇文章也不是用来比较Linux和Windows内核效率,文件系统,网络服务的。我现在是作为
婵_27e0·2018-07-10 17:19

2017-2018-2 20179223《网络攻防技术》第七周作业

操作系统的发展与现状Windows在桌面操作系统中占有非常高的市场份额,WindowsXP系统在国内仍有大量的用户2、Windows操作系统基本结构(1)Windows操作系统内核基本模块+Windows执行体:Windows
20179223刘霄·2018-04-22 22:00

Windows内核NT驱动框架基础分析

驱动框架NT驱动框架:安全中用的最多的就是NT驱动模型,WDM框架:支持热插拔功能,大多用于网卡一类的硬件下图是NT驱动框架的示意图:NT驱动框架NT驱动框架的组成NT驱动框架主要是由:驱动入口函数,若干分发函数.驱动卸载函数组成//--------------驱动入口----------------------NTSTATUSDriverEntry(PDRIVER_OBJECTpDriverOb
Mon7ey·2018-04-18 10:33

Volatility中Windows有关的插件功能说明

WindowsCore镜像识别插件:imageinfo:显示目标镜像的摘要信息kdbgscan:kerneldebuggerblock,KDBG是由Windows内核维护的用于调试目的的结构。
dmbjzhh·2018-03-02 17:27
上一页 4 5 6 7 8 9 10 11 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他