Ring0

ring0和ring3的区别

     Intel的x86处理器是通过Ring级别来进行访问控制的,级别共分4层,从Ring0到Ring3(后面简称R0、R1、R2、R3)。
pcajax·2011-03-16 20:00

Windows 中 FS 段寄存器 V2

代码运行在RING0(系统地址空间)和RING3(用户地址空间)时,FS段寄存器分别指向GDT(全局描述符表)中不同段:在RING3下,FS段值是0x3B(这是WindowsXP下值;在Windows2000
wzsy·2011-03-11 15:00

转:SSDT Hook的妙用-对抗ring0 inline hook

t=40832********************************************************标题:【原创】SSDT Hook的妙用-对抗ring0 inlin
leitianjun·2011-03-07 23:00

进程查看

(内核级病毒、木马在Ring0中可以很容易的做到隐藏而是用户态程序检测不到)。//writebyjingzhongrong1、利用ToolHelpAPI首先创建一个系统快照,然后
liu4584945·2011-03-01 14:00

用户模式与内核模式

从Intel80386开始,出于安全性和稳定性的考虑,该系列的CPU可以运行于ring0~ring3从高到低四个不同的权限级,对数据也提供相应的四个保护级别。
nonostilly·2011-02-16 16:45

ring0检测隐藏进程

ring0检测隐藏进程 题: 【原创】ring0检测隐藏进程作者: 堕落天才时间: 2007-05-10,13:28链接: http://bbs.pediy.com/showthread.php?
牵着老婆满街逛·2011-01-31 11:00

Ring3下Hook API实现分析

对应的,自然也有ring0下的HOOKAPI方法,但是这个需要一些驱动方面的基础,暂时不在本文讨论范围内。另外ring3下的HOOKAPI方法也有很多种,我只列举我所能想到的。   
panda1987·2011-01-18 13:00

调用门实战(4)----特权级转移实践

本次实践从ring0进入ring3然后又回到ring0,运行结果如下图:  具体步骤如下:1、进入ring3在前面的理论篇中,我们知道可以用ret指令跳转到目标代码段。
kkk8000·2010-11-21 15:00

核心态和用户态

386及以上的CPU实现了4个特权级模式(WINDOWS只用到了其中两个),其中特权级0(Ring0)是留给操作系统代码,设备驱动程序代码使用的,它们工作于系统核心态;而特权极3(Ring3)则给普通的用户程序使用
iphoneing·2010-10-28 23:00

LINUX KERNEL 2.6 < 2.6.19 (32BIT) IP_APPEND_DATA() LOCAL RING0 ROOT EXPLOIT

Linuxkernel2.6<2.6.19(32bit)ip_append_data()localring0rootexploit这个本地提权拿root漏洞的exp,使用方法很简单:gcc-ots2.6.cmoo #编译,生成moo./moo   #直接溢出完成后就是root提供源码和编译好的下载。源码:下载文件(已下载2次)点击这里下载文件:ts2.6.tar.gz编译好的:下载文件(已下载1次
obnus·2010-10-28 12:32

LINUX KERNEL 2.6 < 2.6.19 (32BIT) IP_APPEND_DATA() LOCAL RING0 ROOT EXPLOIT

Linuxkernel2.6<2.6.19(32bit)ip_append_data()localring0rootexploit这个本地提权拿root漏洞的exp,使用方法很简单:gcc-ots2.6.cmoo #编译,生成moo./moo   #直接溢出完成后就是root提供源码和编译好的下载。源码:下载文件(已下载2次)点击这里下载文件:ts2.6.tar.gz编译好的:下载文件(已下载1次
obnus·2010-10-28 12:32

13、Windows驱动开发技术详解笔记(9) 基本语法回顾

这个表的作用是把ring3 的Win32 API 与ring0 的内核API 联系起来。
·2010-10-20 22:00

Windows 的程序性能测量工具 wtime 0.1 alpha 版发布

wtime类似GNUtime,它可以运行另一个程序,然后在那个程序结束时输出程序消耗的时间(内核态ring0时间、用户态ring3时间、总时间)、占用的内存(工作集/峰值、页面文件/峰值)、IO数量(IO
shell_picker·2010-09-06 21:00

IDT系列:(二)中断处理过程,使用bochs调试IDT中的中断服务程序

根据当前的优先级不同(ring0或ring3,也就是执行与用户态还是内核态)会有较大的不同。如果异常或
fwqcuc·2010-09-01 15:00

Windows NT/2000下不用驱动的Ring0代码实现

WindowsNT/2000下不用驱动的Ring0代码实现 发表日期:2007-02-07作者:[转贴]出处:     大家知道,WindowsNT/2000为实现其可靠性,严格将系统划分为内核模式与用户模式
minkowsky·2010-07-30 18:00

利用改变进程线程的上下文注入其它进程

 /*拜读了Fypher的《ring0注入ring3的一种新方法》,同样获益非浅于是利他的方法在ring3下实现了一下。
lwglucky·2010-07-14 11:20

利用改变进程线程的上下文注入其它进程

 /*拜读了Fypher的《ring0注入ring3的一种新方法》,同样获益非浅于是利他的方法在ring3下实现了一下。
lwglucky·2010-07-14 11:20

《Windows内核编程》---内存管理基本概念

2)虚拟内存地址Windows所有程序(包括Ring0层和Ring
wapysun·2010-07-08 21:00

《Windows内核编程》---内存管理基本概念

2)虚拟内存地址 Windows所有程序(包括Ring0
wapysun·2010-07-08 21:00

《Windows内核编程》---内存管理基本概念

2)虚拟内存地址Windows所有程序(包括Ring0层和Ring3层的
ACE1985·2010-07-08 21:00

浅谈Linux内核和CPU架构

之所以有这两部分构成,我想应该是由于考虑CPU体系结构嵌入式ARM处理器有七种工作状态,分别是用户模式、快速中断、外部中断、管理模式、数据访问终止模式、系统模式和为定义指令模式,而X86体系结构的CPU则有RING0
xiesiyuana·2010-06-09 00:00

浅谈Linux内核和CPU架构

之所以有这两部分构成,我想应该是由于考虑CPU体系结构嵌入式ARM处理器有七种工作状态,分别是用户模式、快速中断、外部中断、管理模式、数据访问终止模式、系统模式和为定义指令模式,而X86体系结构的CPU则有RING0
xie376450483·2010-06-09 00:00

内核态和用户态的区别

Ring0级别最高,Ring3最低。当一个任务(进程)执行系统调用而陷入内核代码中执行时,我们就称进程处于内核运行态(或简称为内核态)。此时处理器处于特权级最高的(0级)内核代码中执行。
Tinysun·2010-05-30 16:00

Hide your DebugPort in ring0

 标题: 【原创】HideyourDebugPortinring0作者: wowelf时间: 2009-01-26,11:00:30链接: http://bbs.pediy.com/showthread.php?t=80971一个程序被ring3调试器调试时,有很多的调试特征可以检测,本论坛也有专门的帖子详细论述,但有个非常根本的标志ring3也是可以检测的比较少人提及,那就是_EPROCESS.
lwglucky·2010-05-26 21:55

Hide your DebugPort in ring0

 标题: 【原创】HideyourDebugPortinring0作者: wowelf时间: 2009-01-26,11:00:30链接: http://bbs.pediy.com/showthread.php?t=80971一个程序被ring3调试器调试时,有很多的调试特征可以检测,本论坛也有专门的帖子详细论述,但有个非常根本的标志ring3也是可以检测的比较少人提及,那就是_EPROCESS.
lwglucky·2010-05-26 21:55

pmtest5a_b(ring0到ring3_无tss)

文本比较已生成:2010-4-910:33:29  模式:全部 左侧文件:C:DocumentsandSettings66_不思进取桌面下载os6631767673chapter3chapter3epmtest5a.asm 右侧文件:C:DocumentsandSettings66_不思进取桌面下载os6631767673chapter3chapter3epmtest5b.asm ;=======
titer1·2010-04-10 08:00

内核态与用户态

Ring0级别最高,Ring3最低。其中特权级0(Ring0)是留给操作系统代码,设备驱动程序代码使用的,它们工作于系统核心态;而特权极3(Ring3)则给普通的用户程序使用,它们工作在用户态。
sraing·2010-04-01 17:00

RING0和RING3穿透还原软件zz

RING0和RING3穿透还原软件zz写了两天的程序,总算把RING3下的搞定了。
小默·2010-02-06 00:00

(zz)逆向RING0程序从这里开始

(zz)逆向RING0程序从这里开始标题:逆向RING0程序从这里开始作者:笨笨雄时间:2006-12-0621:41链接:http://bbs.pediy.com/showthread.php?
小默·2010-02-05 23:00

内核态与用户态

Ring0级别最高,Ring3最低。其中特权级0(Ring0)是留给操作系统代码,设备驱动程序代码使用的,它们工作于系统核心态;而特权极3(Ring3)则给普通的用户程序使用,它们工作在用户态。
skywalkzf·2010-01-13 14:00

Rootkit技术

随着安全技术的发展和计算机用户群的技术提高,一般的木马后门越来越难生存,于是一部分有能力的后门作者把眼光投向了系统底层——ring0
shi229592533·2009-12-23 21:00

五步清除内核级木马程序Byshell

它是内核级的木马程序,主要部分工作在Ring0,因此有很强的隐蔽性和杀伤力。 黑客通常用Byshell木马程序远程控制安装了WindowsNT/2000/XP/2003操作系统的机器。当By
yakoo5·2009-11-26 23:00

转SSDT Hook的妙用-对抗ring0 inline hook

1,SSDTSSDT即系统服务描述符表,它的结构如下(参考《UndocumentWindows2000Secretes》第二章):typedefstruct_SYSTEM_SERVICE_TABLE{PVOIDServiceTableBase;//这个指向系统服务函数地址表PULONGServiceCounterTableBase;ULONGNumberOfService;//服务函数的个数,Nu
whf727·2009-11-20 20:00

【第6章】改变最简单进程的特权级

     前面的最简单进程中的,内核和进程都是运行在RING0下的,照理说不是什么进程都能运行在RING0下的,那我们现在就在让进程运行在RING1下吧。
damacheng·2009-11-03 20:00

SSDT Hook的妙用-对抗ring0 inline hook

【原创】SSDTHook的妙用-对抗ring0inlinehook标题:【原创】SSDTHook的妙用-对抗ring0inlinehook作者:堕落天才时间:2007-03-10,15:18链接:http://bbs.pediy.com/showthread.php?t=40832********************************************************标题:
S.l.e!ep.¢%·2009-10-28 22:00

SSDT HIDE Process

lastpost前言:这只是一篇类似于教学性的paper,在本文中阐述了一些SSDTHOOK的基本原理与实现方法,方法并不高深也不新颖,只是方便如同我一般的小菜们能够了解SSDTHOOK的概念,并通过一个小程序实现ring0
S.l.e!ep.¢%·2009-10-25 11:00

HOOK SSDT Hide Process (一)

这个表就是一个把ring3的Win32API和ring0的内核API联系起来。SSDT并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸
S.l.e!ep.¢%·2009-10-24 23:00

一个处于原型期的debugger的简单分析

让我们直接进ring0,看作为一个debugger需要在内核里做什么事情要进ring0,一定要写driver
S.l.e!ep.¢%·2009-10-24 22:00

[转] hook PsCreateSystemThread

hookPsCreateSystemThread很多RootKit在ring0下利用PsCreateSystemThread来创建系统线程做某些WS的事情,我们平时不利用ARK工具的话,是很难发现这些线程
S.l.e!ep.¢%·2009-09-17 21:00

hook PsCreateSystemThread

hookPsCreateSystemThread很多RootKit在ring0下利用PsCreateSystemThread来创建系统线程做某些WS的事情,我们平时不利用ARK工具的话,是很难发现这些线程
前世今非·2009-09-17 20:00

内核模式

也称为“管理员模式”、“保护模式”或“Ring0”。内核模式又称系统模式,在这种模式下,监控程序可以执行特权指令,而且受保护的内存区域也是可以访问的。
jicheng687·2009-09-04 00:00

Zw函数与Nt函数的分别与联系

Ring3中的NATIVEAPI,和Ring0的系统调用,都有同名的Zw和Nt系列函数,一度让初学者感到迷糊。N久前的我,也是相当的迷糊。
whf727·2009-08-24 15:00

获取当前进程/线程的ID、句柄和内核地址

获取当前进程/线程的ID、句柄和内核地址 在用户态(RING3)和内核态(RING0)下,获取这些值的函数是不同的,而且这些函数的实现原理也是不同的,下面做个小结: 1.用户态(RING3)下 2.内核态
misterliwei·2009-08-21 10:00

实用级反主动防御rootkit设计思路

 作者:白远方(ID:baiyuanfan,[email protected],[email protected])June18,2007关键字:rootkit,反主动防御,网络监控,ring0
maxsky·2009-08-15 11:00

驱动开发学习笔记1

1.驱动程序在某些特定时候可以理解为内核模块,即运行在Ring0级的一段代码。2.内核模块位于内核空间,而内核空间又被所有的进程共享。因此,内核模块实际上可以位于任何一个可能的进程空间中的。
yanghao58686763·2009-07-30 15:00

Windows中FS段寄存器 V2

代码运行在RING0(系统地址空间)和RING3(用户地址空间)时,FS段寄存器分别指向GDT(全局描述符表)中不同段:在RING3下,FS段值是0x3B(这是WindowsXP下值;在Windows2000
misterliwei·2009-07-29 18:00

驱动程序的分类

VxD本身是运行在Ring0级的32位的可执行程序,它是Windows应用程序和实际硬件之间的接口,也是操
yanghao58686763·2009-07-23 17:00

内核态和用户态的区别

Ring0级别最高,Ring3最低。当一个任务(进程)执行系统调用而陷入内核代码中执行时,我们就称进程处于内核运行态(或简称为内核态)。此时处理器处于特权级最高的(0级)内核代码中执行。
easylife206·2009-07-08 23:29

内核态和用户态的区别

Ring0级别最高,Ring3最低。当一个任务(进程)执行系统调用而陷入内核代码中执行时,我们就称进程处于内核运行态(或简称为内核态)。此时处理器处于特权级最高的(0级)内核代码中执行。
easylife206·2009-07-08 23:29

DOS保护模式下中断

流程如下: 实模式(16位,RING0)  |  |保护模式(32位,RING0)  -->发生INT2EH中断,并返回(IRETD)  |  |保护模式(16位,RING0)  |  |实模式(16位
misterliwei·2009-07-06 17:00
上一页 3 4 5 6 7 8 9 10 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他