Ring3

SSDT HOOK拦截远线程的创建(下)

我这里使用的是炉子大虾的《APIHOOK实现ring3的进程保护》一文中提到的方法。     炉子那篇文章里讲的很详细,这里只说下如何从进程句柄中获取信息吧,在NTDL
jiangqin115·2015-11-10 14:00

ring3改KernelCallbackTable防键盘钩子

ring3改KernelCallbackTable防键盘钩子__declspec(naked)test(){_asm{retjmpoldaddr}}DWORD*KernelCallbackTable=NULL
cosmoslife·2015-11-09 20:57

浅谈NT下Ring3无驱进入Ring0的方法

原文链接:浅谈NT下Ring3无驱进入Ring0的方法   (测试环境:Windows 2000 SP4,Windows XP SP2.Windows 2003 未测试)  
·2015-11-09 13:02

从ring0到ring3再到ring0(pmtest5.asm)

; ==========================================; pmtest5.asm; 编译方法:nasm pmtest5.asm -o pmtest5.com; ========================================== %include "pm.inc" ; 常量, 宏, 以及一些说明 org&
·2015-11-08 15:36

ollydbg,ring3级别的调试软件

ollydbg,ring3级别的调试软件.基本上,调试自己的程序因为有源码,一般用vc,破解别人的程序用ollydbg,而调试驱动可用softice,这个原则虽不绝对,但在大多数情况下是行得通的.以下列举几个比较有用的破解工具
·2015-11-08 15:43

RING0到RING3

在 前一篇文章 里面,我们将了CPU保护模式中的几种特权RING0,RING1,RING2,RING3!操作系统通常运行在RING0,应用程序通常运行在RING3
·2015-11-08 14:20

RING3到RING0

RING3到RI
·2015-11-08 14:18

探索ring0之内核概述

 探索ring0之内核概述 内核概述 Intel x86系列处理器使用“环”的概念来实施访问控制,共有4个权限级别,由高到低分别为Ring0、Ring1、Ring2、Ring3,其中Ring0
·2015-11-07 11:58

验证驱动的调用者

即存在Ring3恶意调用Ring0驱动派遣例程的问题,对于这种调用Ring0程序应进行验证和过滤。 作为不够健壮的第三方驱动程序,更容易因为这种恶意调用被干扰,发
·2015-11-07 11:58

经典工具啊!

调试工具 反汇编工具 反编译工具 PE相关工具 编译工具 编辑工具 .NET工具 脱壳工具 加密工具 补丁工具 监视软件 代码计算 密码学工具 其它 Ring3
·2015-11-06 07:55

内核环境及其特殊性,驱动编程基础篇

这个可以和CPU的等级联系到一块:ring0,ring1,ring2,ring3,特权等级依次降低,最底层ring0层拥有最
·2015-11-05 08:37

访问其他进程内存

Ring3 是提供了两个API函数,WriteProcessMemory和ReadProcessMemory来读取其他进程的内存 BOOL WINAPI WriteProcessMemory(
·2015-11-02 09:13

过QQ游戏大厅的SX保护 - Evil0r's Blog - 博客频道 - CSDN_NET

Evil0r's Blog 很久很久以前,天是蓝的,水是清的,Virus是跑在Ring3的,AV是只做扫描的 目录视图 摘要视图 订阅 【通知】3月
·2015-11-01 10:57

ring3下干净的强行删除文件

在某公司实习完,再次回到寝室。还是在学校好。 实习期间的给我的任务就是为项目添加一个强行删除的模块。 背景是硬盘上存储空间不够时,需要删掉老的文件,如果这时后,老的文件被打开了,没有关掉,就无法删除。所以叫我写一个这样的功能。 所谓干净,指的是释放掉这个被占用的句柄。强行删除的方法很多,用驱动直接发磁盘IRP。等等 查阅相关资料后。整理思路如下,如果有同学以后要写这样的
·2015-11-01 09:47

Windows 注入

接下来讲的注入技术,有ring3层的lld的远程线程和apc注入,还有ring0的apc注入,此外还有更为隐蔽的代码注入。  先写最广泛的,也是相
·2015-11-01 09:26

调用门使代码段从ring3调用到ring0再回到ring3的过程

GDT和LDT分别为全局描述表和局部描述表,其中表中每一项又叫做段描述符。段描述符,由段地址,以及段类型,特权级DPL等组成,其中段类型说明此段是代码段还是数据段,还是各种门,还是TSS等。通过GDT访问某个段的时候需要使用段选择符来进行调用。普通调用下,是根据是否是一致代码段进行同级权限代码段之间的调用,或者是低权限向高权限代码的调用,但是CPL不会改变。如果想要从低权限向高权限调用,并且可以改
·2015-10-31 14:24

内核态和用户态

  intel cpu提供Ring0-Ring3三种级别的运行模式,Ring0级别最高,Ring3最低。
·2015-10-31 11:05

ring0调用ring3-apc

最近一段时间都在解决ring0调用ring3函数的问题 因为想在驱动中间实现启动一个应用程序,这个应用程序有可能是exe也有可能是dll,但是在核心层没有像WinExec或者LoadLibrary这样的
·2015-10-31 11:07

Ring3下Dll注入方法整理汇总

1.dll劫持,粗略整理了下,可以劫持的dll有(持续更新): lpk.dll、usp10.dll、msimg32.dll、midimap.dll、ksuser.dll、comres.dll、ddraw.dll 以lpk为例,在win7下由于lpk被加入KnownDLLs且该注册表值不可修改,使得lpk强制从系统目录加载, 不过可以将lpk.dll加入ExcludeFromKnownDll
·2015-10-31 10:05

retf,call 指令运行的详细情况

retf,call 指令运行的详细情况 call指令的运行情况:(代码段只能从低到高如:ring3到ring0(这时特权级转换了,在不同级之间跳转,这是一致代码段情况))   
·2015-10-31 10:33

字符串的处理

  Ring3 在Visual Studio 的开发环境下是默认使用Unicode 字符集的。刚开始的时候不太习惯,毕竟自己写写C/C++都是ACSII 码。 ASCII 的pr
·2015-10-31 10:50

ring0 与 ring3 层之间的交互

  在进行Windows的ring0层开发时,必不可免的要与 ring3 层进行交互。进行数据间的相互传输。可用的方法有DeviceIoCntrol,ReadFile。
·2015-10-31 10:50

hook NtReadVirtualMemory干扰杀软扫描

一直以来写的都是ring3代码,现在很认真的拼凑了一份山寨版的驱动代码,很久没这么认真过了。希望哪位大牛能指点一下,指出代码中可能存在BOSD的隐患。其
·2015-10-31 10:28

SSDT HOOK实现内核级保护

Hook效果图 SSDT简介 SSDT结构 SSDT HOOK原理 Hook前准备 如何获得SSDT中函数的地址呢 SSDT Hook流程 SSDT Hook实现进程保护 Ring3
·2015-10-31 08:36

驱动层和应用层的同步通信

首先是同步问题,通过Ring3创建事件,并将该事件传递给Ring0,同时Ring3创建监控线程,等待Ring0发起事件。
·2015-10-30 14:52

用户态和核心态

    用户态:Ring3运行于用户态的代码则要受到处理器的诸多检查,它们只能访问映射其地址空间的页表项中规定的在用户态下可访问页面的虚拟地址,且只能对任务状态段
·2015-10-30 14:20

驱动层和应用层的同步通信

驱动层和应用层的同步通信 首先是同步问题,通过Ring3创建事件,并将该事件传递给Ring0,同时Ring3创建监控线程,等待Ring0发起事件。
·2015-10-30 13:48

另类挂钩-RING3数据包监视

另类挂钩 RING3数据包监视前几天朋友让帮忙写一个RING3程序来监视TCP包并做数据包分析本来想HOOK ws2_32!
jiangqin115·2015-10-29 16:00

19、Windows内存管理

1、虚拟地址 Windows的所有程序(ring0,ring3),可以操作的都是虚拟内存。CPU中寄存器CR0一个位PG位来告诉系统是否分页的。1为允许分页。
·2015-10-28 09:40

9、Windows驱动开发技术详解笔记(5) 基本语法回顾

    5、在驱动中获取系统时间 1)获取启动毫秒数  在ring3 我们可以通过一个GetTickCount 函数来获得自系统启动开始的毫秒数,在ring0也有一个与之对应的
·2015-10-28 09:37

7、Windows驱动开发技术详解笔记(3) 基本语法回顾

    3、文件读写   在ring3 我们可以使用CreateFile、ReadFile 、WriteFile 等API,在ring0 同样很相似,不过函数变成了
·2015-10-28 09:36

OllyDbg Format String 0day分析和利用

适合读者:溢出爱好者 前置知识:汇编语言、缓冲区溢出基本原理 OllyDbg Format String 0day分析和利用 文/图 gyzy[江苏大学信息安全系&EST] OD作为一款Ring3
·2015-10-28 08:09

ring3下Hook NtQueryDirectoryFile隐藏文件

NTSTATUS WINAPI Hook_NtQueryDirectoryFile(IN HANDLE FileHandle,IN HANDLE Event OPTIONAL,IN PIO_APC_ROUTINE ApcRoutine OPTIONAL,IN PVOID ApcContext OPTIONAL,OUT PIO_STATUS_BLOCK IoStatusBlock,OUT PVOI
·2015-10-27 16:29

ring3下的IAT HOOK

标 题: 【原创】ring3下的IAT HOOK作 者: hostzhen时 间: 2013-03-28,11:30:53链 接: http://bbs.pediy.com/showthread.php
·2015-10-27 14:55

全虚拟化和半虚拟化的区别 cpu的ring0 ring1又是什么概念? - 转

 应用程序的代码运行在最低运行级别上ring3上,不能做受控操作。如果要做,比如要访问磁盘,写文件,那就要通过执行系统调用(函数),执行系统调用
·2015-10-22 21:13

vc++实现Ring3全局HOOK

  /***********************************************************************//*实现全局hook模块基本完工,测试通过,没有发现异常。         计划1:在hook前首先检验该程序是否已被hook   计划2
·2015-10-21 11:27

[Windows核心编程]32bit程序在64bit操作系统下处理重定向细节[1]

这段时间,都在做Ring3层的普通32bit程序兼容64bit操作系统的代码修改,在此记录修改和学习心德。
·2015-10-21 10:21

SSDT hook实现进程保护

“这个表就是把RING3的Win32API和RING0的内核API联系起来。”我们知道ntdll.dll是Windows系统从RING3到RING0的门户
abcdefghig·2015-09-24 19:00

软件安全学习笔记(3):Windows内存结构和管理

一、CPU特权级与内存访问虚拟内存中用户模式区和内核模式区对应,处理器也分为用户模式(Ring3)和内核模式(Ring0)用户程序一般运行在用户模式,其访问内存空间也局限于用户区操作系统内核代码(如系统服务和设备趋同程序
u014679804·2015-09-07 21:00

用户态 内核态

设备驱动程序代码使用的用户态受处理器诸多检查,只能访问映射其地址空间的页表项中规定的在用户态下可访问页面的虚拟地址,且只能对任务状态段(TSS)中I/O许可位图(I/OPermissionBitmap)中规定的可访问端口进行直接访问对应ring3
lilingyu520·2015-08-22 12:00

Ring3与Ring0通信方法若干

Ring3与Ring0同步是很有用的手段,在此做一个简要的整理,希望对开发这方面程序的朋友有帮助,好了,开始吧。      
dpsying·2015-07-16 15:00

Linux用户态和内核态

一、前提摘要1.操作系统(如linux,提供了用户模式和内核模式:将其分为了用户空间和内核空间)(使用cpu的ring0模式运行内核态代码;ring3模式运
tonylau_hnu·2015-07-15 15:37

为什么要区分用户态和内核态?

Intel的CPU将特权等级分为4个级别:Ring0~Ring3Linux使用Ring3级别运行用户态,
Clairezz_·2015-07-01 19:02

SSDT表概念详解

这个表就是一个把 Ring3 的 Win32 API 和 Ring0 的内核 API 联系起来。
QQ1084283172·2015-06-25 11:00

C++ 在Ring3下的通用API HOOK

原文转自:http://www.cnblogs.com/AniX/archive/2010/10/26/1861693.html 代码部分我做过整理说道APIHOOK,这已经是老掉牙的技术了,但是它的实用性却是不能忽视的。虽然在网上这类的文章很多,但大多数的实现方法是将一个函数的前5字节直接改为jmpXXXX。这种方法虽然简单可行,但是不通用,因为一些特殊函数的前5字节不是完整的,如果直接修改,就
lixiangminghate·2015-06-23 15:00

API HOOK技术详解

APIHOOK分为ring0和ring3层,这里我们以ring3层APIHOOK进行讲解分析。    
jack960330·2015-05-25 17:23

API HOOK技术详解

APIHOOK分为ring0和ring3层,这里我们以ring3层APIHOOK进行讲解分析。    
jack960330·2015-05-25 17:23

linux hook

我们必须要明白,Hook技术是一个相对较宽的话题,因为操作系统从ring3到ring0是分层次的结构,在每一个层次上都可以进行相应的Hook,
cncnlg·2015-05-21 15:51

SYSENTER指令

做过NativeAPI编程的话应该就知道,即使是看起来像内核的NTDLL.dll也只不过是Ring3级的,最终的系统调用是由ntoskrnl.exe程序向内核发送IO请求,然后内核与驱动程序返回执行结果
IAimee·2015-05-12 16:35

SYSENTER指令

做过NativeAPI编程的话应该就知道,即使是看起来像内核的NTDLL.dll也只不过是Ring3级的,最终的系统调用是由ntoskrnl.exe程序向内核发送IO请求,然后内核与驱动程序返回执行结果
ccc7560673·2015-05-12 16:00
上一页 1 2 3 4 5 6 7 8 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他