Ring3

《黑客免杀攻防》读书笔记01

2.intel的特权级别有四层Ring0:底层,内核层,也是操作系统的底层,只供操作系统使用Ring3:高级层,也就是用户层,谁都可以用3.反病毒
Eira_H·2018-03-23 20:35

Linux体系结构、Linux内核架构

种工作模式:用户模式(usr)、快速中断(fiq)、外部中断(irq)、管理模式(svc)、数据访问中止(abt)、系统模式(sys)、未定义指令异常(und)X86也实现了4个不同的级别:Ring0—Ring3
还是小屁孩·2018-02-02 21:53

Windows Server 2016 Hyper-V简介与配置

传统Windows操作系统分为应用层和内核层,应用程序运行在Ring3,操作系统运行在Ring0。
始祖鱼·2018-02-01 14:48

编写内核驱动加载工具

编写内核驱动加载工具一丶加载内核驱动的常用API介绍.加载内核驱动,使用我们的ring3下的API即可完成.API分别是:OpenSCManager打开设备(服务)管理器CreateService创建服务
iBinary·2018-01-13 23:00

Windows x86/ x64 Ring3层注入Dll总结

0x01.前言提到Dll的注入,立马能够想到的方法就有很多,比如利用远程线程、Apc等等,这里我对Ring3层的Dll注入学习做一个总结吧。
天边的黑雪·2016-10-30 10:00

iOS Anti-Debug

63271iOSAnti-Debug1iOSAnti-Debug前言移动平台攻防对抗技术的发展基本是沿着PC端发展轨迹在前进,从windows平台上的加壳到Android平台的APK加固,相信ipa的加固也已经不远了;windows平台下从ring3
weixin_33786077·2016-08-24 20:00

程序调试利器Ollydbg使用教程

一、基础知识1.1、OllydbgOllydbg(简称OD)是Windows平台下Ring3级的程序调试利器。程序调试有静态调试和动态调试两种。
梦断九歌·2016-07-30 14:10

Windows权限分析 Part1

Windows系统的访问控制级别分为两个级别:Ring0层和Ring3层,即我们常说的应用层和驱动层。
DriverUnload·2016-05-30 16:14

Windows中获取线程起始地址

线程的起始地址StartAddress,保存在了_ETHREAD结构中,无法从Ring3获取。kd>dt_ethread80553740 ntdll!
xiao_0429·2016-05-13 21:00

Trend笔试题(部分)

ip协议的哪个功能:TTL为什么端口只有65535个:16bit限制最短剩余时间优先算法数据库事务的属性:原子性,一致性,持久性,隔离性intelcpu用环进行访问控制:内核态对应Ring0,用户态对应Ring3
伪砖家·2016-05-04 22:45

Ring3下Inline Hook API

用CreateFile为例子,讲解一下Ring3下的InlineHookAPI,基本原理很简单1、获取CreateFile函数的地址2、读取CreateFile函数的前8个字节3、将CreateFile
·2016-05-04 15:00

Linux系统调用Hook

我们必须要明白,Hook技术是一个相对较宽的话题,因为操作系统从ring3到ring0是分层次的结构,在每一个层次上都可以进行相应的Hook,它们使用的技术方法以及取得的效果也是不尽相同的。
qq_16836151·2016-04-28 17:00

病毒木马查杀实战第022篇:txt病毒研究

我们之前的课程所讲解的都是Ring3层的病毒,所以有些朋友可能会认为,那么Ring0层的病毒其实才是最厉害的,也是病毒发展的主流;或者有朋友可能
ioio_jy·2016-04-20 15:00

病毒木马查杀实战第021篇:Ring3层主动防御之编程实现

前言    我们这次会依据上次的内容,编程实现一个Ring3层的简单的主动防御软件。
ioio_jy·2016-04-20 15:00

病毒木马查杀实战第020篇:Ring3层主动防御之基本原理

    本系列教程版权归“i春秋”所有,转载请标明出处。    本文配套视频教程,请访问“i春秋”(www.ichunqiu.com)。前言    如果说我们的计算机中安装有杀毒软件,那么当我们有意或无意地下载了一个恶意程序后,杀软一般都会弹出一个对话框提示我们,下载的程序很可能是恶意程序,建议删除之类的,或者杀软就不提示,直接删除了;或者当我们运行了某一个程序,包含有可疑操作,比如创建开机启动项
ioio_jy·2016-04-20 15:00

内核态与用户态

x86处理器包含4个不同的特权等级,分别是Ring0~Ring3。Ring0下,可以执行特权级指令,对任何I/O设备都有访问权限,Ring3则被限制很多操作。  
Qidi_Huang·2016-04-15 18:00

Windows驱动开发(2) - Windows内存管理

1.2虚拟内存Windows的所有程序(ring0,ring3),可以操作的都是虚拟内存。CPU中寄存器CR0一个位PG位来告诉系统是否分页的。1为允
Vinx911·2016-04-10 21:23

Windows驱动开发(2) - Windows内存管理

1.2虚拟内存Windows的所有程序(ring0,ring3),可以操作的都是虚拟内存。CPU中寄存器CR0一个位PG位来告诉系统是否分页的。1为允
u011471873·2016-04-10 21:00

GiraffeOS设计与实现(3)-引导CPU1

因为用户态的程序是Ring3的,而我们需要的级别是Ring0级别的代码。否则是无法操作APIC的。
borisjineman·2016-04-03 15:00

文件操作->Tesla.Angela教程整理

RING0操作文件和RING3操作文件在流程上没什么大的区别,也是“获得文件句柄->读/写/删/改->关闭文件句柄”的模式。当然了,只能用内核API,不能用WIN32API。
zhuhuibeishadiao·2016-04-02 22:00

win10系统调用架构分析

当用户模式调用系统服务时,CPU执行一个特殊的指令以切换到内核模式(Ring0),当系统服务调用完成时,操作系统切换回用户模式(Ring3)。
liuyez123·2016-03-27 16:40

win10系统调用架构分析

当用户模式调用系统服务时,CPU执行一个特殊的指令以切换到内核模式(Ring0),当系统服务调用完成时,操作系统切换回用户模式(Ring3)。Windows与大多数UNIX系统类似,驱动程序代码共享内
liuyez123·2016-03-27 16:00

Ring3下绕过Windows写时复制机制实现全局EAT钩子

在注入到某进程中对Ntdll下EAT钩子的时候作用域仅仅只是当前进程,可是明明所有进程的Ntdll模块全是映射的同一个啊。原来Windows支持一种机制,允许两个或两个以上的进程共享同一块存储器。不过操作系统会给共享的存储页指定写时复制属性,当有个进程想修改一个共享页面时,操作系统会从内存中找到一个闲置页面并将修改的页面内容复制到这个闲置页面上,再将虚拟地址空间和这个新的页面映射上。那么只需在下钩
SEIGER·2016-02-20 21:00

驱动读写方式(缓冲区读写与直接读写)

DO_BUFFERED_IO:一般用于比较简单且不追求效率情况下的解决方案,把应用层(Ring3层)中内存空间中的缓冲数据拷
太尼玛菜了·2016-02-16 10:00

说一说golang的协程

操作系统的核心代码运行的ring0级别,应用程序的代码运行在ring3级别。
truexf·2016-01-13 13:00

Ring3和Ring0的通信方法

以前玩应用层和内核层通信的时候模糊记得内核态创建的Event在应用态是可以OpenEvent的但是不能SetEvent,ResetEvent,这样就比较麻烦了,每次都需要发Ioctl下来来进行Event的激活与取消,应用层创建的Event将句柄传入内核态的话,内核态是可以激活和取消激活事件的;本来想总结下自己知道的几种方式,结果网上搜资料的时候搜到了别人总结过的,我知道的几种基本都涵盖了,修改了部
a809146548·2015-12-06 01:00

内核态和用户态的区别

Ring0级别最高,Ring3最低。   当一个任务(进程)执行系统调用而陷入内核代码中执行时,我们就称进程处于内核运行态(或简称为内核态)。此时处理器处于特权级最高的(0级)内核代码中执行。
·2015-11-13 19:26

论杀毒软件的自我保护和破解

其实在ring3下安全软件(不使用驱动的普通工具)不容易被干掉是完全正常的,因为他们使用驱动程序进行保护,驱动程序vxd sys是一种特殊的可执行程序,其格式类似普通exe,但有一些不同微软保留着一些秘密
·2015-11-13 13:44

OD使用教程3(中) - 调试篇03|解密系列

OD使用教程3(上) - 调试篇03   让编程改变世界 Change the world by program   关于系统API   Windows应用程序运行在Ring3
·2015-11-13 11:10

OD使用教程3(中) - 调试篇03|解密系列

OD使用教程3(上) - 调试篇03   让编程改变世界 Change the world by program   关于系统API   Windows应用程序运行在Ring3
·2015-11-13 11:06

使用中断门

 看了下,我机器里的第一个空白项是0x20,就懒得写和ring3通信的东西了。
·2015-11-13 09:37

使用调用门

描述符的offset指向需要被ring3程序调用的ring0函数地址。DPL为3。当然selector权限也需要是3。描述符中的selector应是0x8,说明是ring0下code段。
·2015-11-13 09:37

VC:VxD技术及其在实时反病毒中的应用

----Windows9x使用IntelCPU的Ring0和Ring3两个保护级。系统进程运行于Ring0,因而具有对系统全部资源的访问权和管理权;而
·2015-11-13 09:18

Ring3 Hook API

 hook  计算机里面一般是指 挂钩某函数, 就是替换掉原来的函数。inline hook ,  是直接在以前的函数替里面修改指令,用一个跳转或者其他指令来达到挂钩的目的。                这是相对普
·2015-11-13 08:13

Hook导入表 —— 实现挂钩FreeLibaray和HOOK延迟加载模块的API

  最近在研究Windows Ring3上的API Hook,对HOOK导入表这种方法进行了研究。
·2015-11-13 00:08

API-HOOK and ANTI-API-HOOK For Ring3

作 者: Anskya时 间: 2007-01-07,20:56链 接: http://bbs.pediy.com/showthread.php?t=37586 <<API-HOOK and ANTI-API-HOOK For Ring3>>转载请保留版权.谢谢An
·2015-11-12 23:12

用户模式与内核模式

yzzm521/archive/2007/05/20/1618026.aspx 用户模式与内核模式 从Intel80386开始,出于安全性和稳定性的考虑,该系列的CPU可以运行于ring0~ring3
·2015-11-12 20:06

WindowsNT设备驱动程序开发基础

1.1WindowsNT操作系统的组成1.1.1用户模式(UserMode)与内核模式(KernelMode)  从Intel80386开始,出于安全性和稳定性的考虑,该系列的CPU可以运行于ring0~ring3
·2015-11-11 13:35

内核模式下的文件与注册表操作

只不过在Ring0下对这些的操作和在Ring3下的操作不同。这里简单介绍下内核模式下文件和注册表的操作。     首先是在驱动中读写文件。首先是打开文件的操作。
·2015-11-11 10:23

《Orange’s 一个操作系统的实现》3.保护模式7-特权级转移(通过调用门转移目标段-有特权级转换-进入ring3-b)

我们在进入ring3后,实现了高特权级到低特权级的转移,我们在原有代码上稍作修改,实现低特权级到高特权级的转移: 修改的代码如下: 1.修改调用门描述符和选择的特权级 ; 门  
·2015-11-11 07:40

《Orange’s 一个操作系统的实现》3.保护模式7-特权级转移(通过调用门转移目标段-有特权级转换-进入ring3)

在上一节的代码中稍作修改,通过转移进入ring3: ; ========================================== ; pmtest5a.asm ; 编译方法:nasm
·2015-11-11 07:39

Zw函数与Nt函数的分别与联系

Ring3中的NATIVE API,和Ring0的系统调用,都有同名的Zw和Nt系列函数,一度让初学者感到迷糊。N久前的我,也是相当的迷糊。
·2015-11-11 05:50

关于fs寄存器的问题

 对于Ring3的应用程序,fs:[0]的地址指向的是TEB结构,这个结构的开头是一个NT_TIB结构,NT_TIB结构的0x18偏移处是一个Self指针,指向这个结构自身,也就是指向TEB结构的开头
·2015-11-11 05:16

汇编Ring 3下实现 HOOK API

【文章标题】汇编ring3下实现HOOK API 【文章作者】nohacks(非安全,hacker0058) 【作者主页】hacker0058.ys168.com 【文章出处】看雪论坛(bbs.pediy.com
·2015-11-11 04:42

nt内核里的堆管理(2):RtlAllocHeap

ring3里的API HeapAlloc, HeapFree在Kernel32.dll里实现,最后都转到NTDLL.dll里的RtlAllocHeap函数和RtlFreeHeap函数。
·2015-11-11 02:04

用户模式驱动模型(UMDF)简介

UMDF和传统的驱动程序差异非常大,简要说来,UMDF是这样的: UMDF是基于COM思想的,运行于用户模式(RING3)的驱动程序模块。 那么,这种驱动模型带来什么变化呢?
·2015-11-10 22:50

调试UMDF驱动

HyperIris原创文章,谢绝转载 相对于调试运行在最高特权级的WDM、KMDF驱动,调试运行在ring3的UMDF驱动难度大为降低,不需要双机调试,我们可以像调试普通应用程序和服务一样在一台电脑上完成
·2015-11-10 22:35

Ring3下WX方法结束微点2009

    作 者: cogito 此法系Hovi.Delphic首发,某日看过之后甚感WS(某牛:“太挫了,太挫了”),于是把原作者的VB代码转成VC,以飨读者。   微 点的主动防御没有拦截一些系统进程如 csrss.exe, smss,exe, lsass.exe, svchost.exe, servic
·2015-11-10 22:59

枚举进程句柄

删除系统中的文件会提示 有进程已经打开了这个文件会导致不能删除该文件 在网上找到了在ring3下实现文件碎甲的一篇介绍:在ring3上实现文件碎甲功能 其中首先需要实现的就是需要枚举出系统中每个进程打开的文件句柄
·2015-11-10 21:45

SSDT HOOK拦截远线程的创建(上)

http://nokyo.blogbus.com/logs/37787913.html在ring3的APIHOOK中,怎样迫使目标进程调用我们的傀儡DLL是我们非常重视的一个问题。
jiangqin115·2015-11-10 14:00
上一页 1 2 3 4 5 6 7 8 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他