Ring3

利用WMI实现ring3进程监控 - vc

这个方法是ring3下异步的,可能用途有限,但是某些情况下还是会成为利器的。百度找到的大部分都是VB的,这里贴出来一份VC的。
Fenlog·2013-04-24 10:00

Ring3进程注入技术讲解篇

Ring3进程注入技术讲解在我的学习过程中,写出我所了解的三种技术,贴点理论的东西,方便以后理解。
fsjaky·2013-04-17 17:00

Windows系统调用架构分析—也谈KiFastCallEntry函数地址的获取

原文地址:点击打开链接为什么要写这篇文章1.因为最近在学习《软件调试》这本书,看到书中的某个调试历程中讲了Windows的系统调用的实现机制,其中讲到了从Ring3跳转到Ring0之后直接进入了KiFastCallEntry
programmingring·2013-04-13 23:16

差异分析定位Ring 3保护模块

 差异分析定位Ring3保护模块 由于保护模块通常会Hook操作系统的原生DLL接口来进行保护,所以可以采用差异比较原生DLL文件和加载到内存中的原生DLL直接的差别来定位Ring3模块。 
博文视点Broadview·2013-04-10 15:00

差异分析定位Ring 3保护模块

差异分析定位Ring3保护模块由于保护模块通常会Hook操作系统的原生DLL接口来进行保护,所以可以采用差异比较原生DLL文件和加载到内存中的原生DLL直接的差别来定位Ring3模块。
博文视点·2013-04-10 15:40

Windows系统调用架构分析—也谈KiFastCallEntry函数地址的获取

因为最近在学习《软件调试》这本书,看到书中的某个调试历程中讲了Windows的系统调用的实现机制,其中讲到了从Ring3跳转到Ring0之后直接进入了KiFastCallEntry这个函数。
fsjaky·2013-04-09 19:00

城里城外看SSDT

这时的战场上,先前颇为流行的窗口挂钩、API挂钩、进程注入等技术已然成为昨日黄花,大有逐渐淡出之势;取而代之的,则是更狠毒、更为赤裸裸的词汇:驱动、隐藏进程、Rootkit……在这篇文章里,李马首度从ring3
yeahhook·2013-03-28 09:00

另类挂钩 RING3数据包监视

另类挂钩 RING3数据包监视前几天朋友让帮忙写一个RING3程序来监视TCP包并做数据包分析本来想HOOK ws2_32!
yeahhook·2013-03-27 17:00

[置顶] 【2014-06-16】AntiSpy 2.2 (新增进程树模式,结束进程树等功能)

2.此工具90%以上的功能都是在内核驱动中实现,Ring3层程序只做展示结果之用。虽然本人已经在诸多环境中做过严格的测试,但也可能存在一定的不稳定性。3.此工具目前支持win2000、xp
hu3167343·2013-02-19 19:00

ZwSystemDebugControl函数

使用ZwSystemDebugControl,可以在ring3下读写内核空间虚拟内存//读取MEMORY_CHUNKSQueryBuff;DWORD*address2=newDWORD[dwServices
mergerly·2013-01-25 16:00

linux、内核源码、内核编译与配置、内核模块开发、内核启动流程

答:有关CPU体系结构,各处理器可以有多种模式,而LInux这样的划分是考虑到系统的安全性,比如X86可以有4种模式RING0~RING3 RING0特权模式给LINUX内核空间RING3给用户空间linux
mrjy1475726263·2013-01-22 22:00

特权级--ring3到ring0

还记得吗?我们用调用门和lcall指令实现特权级由低到高的转移.假设我们想由代码A转移到代码B,运用一个调用门G,即调用门G中的目标选择子指向代码B的段。实际上我们要考虑4个要素:CPL、RPL、DPL_B(代码B的DPL)、DPL_G(调用门G的DPL)。第一步,当A访问调用门G时,规则相当于访问一个数据段,要求CPL和RPL都小于或者等于DPL_G.也就是CPL和RPL需要在更高的特权级上。第
guocaigao·2013-01-15 17:00

Linux0.11内核--内核态与用户态

内核态与用户态intelx86 架构的 CPU 分 Ring0-Ring3 三种级别的运行模式,Ring0级别最高,Ring3 最低。 
X_White·2013-01-02 21:00

如何看待操作系统的用户空间和内核空间

稍有微机原理基础的人都知道IntelX86体系的CPU提供了四种特权模式ring0~ring3,其中ring0特权最高,ring3的特权最低,之所以要做这样的区分一个主要目的是保护资源,通俗来讲要保护的资源无非就是
evsqiezi·2012-12-28 10:00

Linux0.11内核--内核态与用户态

blog.csdn.net/yming0221/article/details/6314220内核态与用户态intelx86架构的CPU分Ring0-Ring3三种级别的运行模式,Ring0级别最高,Ring3
junmuzi·2012-11-25 15:00

VC++实现恢复SSDT

这个表就是一个把ring3的Win32API和ring0的内核API联系起来。SSDT并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。
yincheng01·2012-10-24 15:00

内核态和用户态的区别

Ring0级别最高,Ring3最低。当一个任务(进程)执行系统调用而陷入内核代码中执行时,我们就称进程处于内核运行态(或简称为内核态)。此时处理器处于特权级最高的(0级)内核代码中执行。
Naruto_ahu·2012-09-23 21:00

内核态和用户态的区别

Ring0级别最高,Ring3最低。当一个任务(进程)执行系统调用而陷入内核代码中执行时,我们就称进程处于内核运行态(或简称为内核态)。此时处理器处于特权级最高的(0级)内核代码中执行。
fivedoumi·2012-08-28 20:00

0.ring0-内存可读、可写、有效性、指针是否为空、深度校验字符串(随手代码)

1.如在ring3下,则要判断是否可读可写:KPROCESSOR_MODEPreviousMode; ULONGPID; PreviousMode=ExGetPreviousMode(); //如果非内核模式
hgy413·2012-08-25 16:00

OLLYDBG

OLLYDBG是一个新的动态追踪工具,将IDA与SoftICE结合起来的思想,Ring3级调试器,非常容易上手,己代替SoftICE成为当今最为流行的调试解密工具了。
茶_壶·2012-08-12 16:00

SSDT(System Services Descriptor Table)系统服务描述符表

这个表就是一个把ring3的Win32API和ring0的内核API联系起来。SSDT并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。
linshixina·2012-08-03 15:00

无Device的驱动如何通信(有机会实践一把)

标准的驱动与ring3的通信过程是这样的:驱动中创建设备,并为设备创建符号链接,ring3用CreateFile打开符号链接得到设备句柄,然后DeviceIoControl发送ControlCodeDeviceIoControl
cosmoslife·2012-07-26 22:00

0.ring0-SSDT-SSTDSHADOW原理分析、遍历随手代码

SSDT的全称是SystemServicesDescriptorTable,系统服务描述符表这个表就是一个把Ring3的Win32API和Ring0的内核API联系起来。
hgy413·2012-07-25 21:00

Ring3下注入DLL的另类方法,能过杀软和游戏NP(源码)

2009-08-1613:41:30 www.hackbase.com 来源:YPN电脑技术支持工作室 Ring3下注入DLL的另类方法,能过杀软和游戏NP(源码)注入DLL是做全局钩子或者拦截类软件都有可能用到的技术
dj0379·2012-07-11 18:00

菜鸟修炼开始

  2008年第1期夜枫《内核方法实现进程保护》就已经介绍了ring3下修改SSDT表中的NativeAPI技术,只不过实现的是进程保护,hook了不同的API函数而已,同样也是修改SSDT表的操作。 
凌子寒宵·2012-06-29 16:00

HOOK菜鸟孵出

现在开始走往高手的历程:黑客防线中有这样一句话:“HookZwSetInformationFile技术实现文件的保护技术,这个实际上就是Ring3级下修改SSDT表中的NativeAPI技术”。
凌子寒宵·2012-06-28 14:00

常见编程中缩语

这个表就是一个把ring3的Win32API和ring0的内核API联系起来的角色。
cosmoslife·2012-06-18 06:00

API-HOOK and ANTI-API-HOOK For Ring3

/*看雪精华文章,http://bbs.pediy.com/showthread.php?t=37586。概括性介绍了API-HOOK的知识。*/标题: 【原创】API-HOOKandANTI-API-HOOKForRing3作者: Anskya时间: 2007-01-07,20:56:49链接: http://bbs.pediy.com/showthread.php?t=37586>转载请保留版
BetaBin·2012-06-12 12:00

一种注册表沙箱的思路、实现——Hook Nt函数

       Nt函数是在Ring3层最底层的函数了,选择此类函数进行Hook,是为了提高绕过门槛。我的Hook方案使用的是微软的Detours。
breaksoftware·2012-06-11 01:00

Windows系统调用架构分析—也谈KiFastCallEntry函数地址的获取

为什么要写这篇文章1.因为最近在学习《软件调试》这本书,看到书中的某个调试历程中讲了Windows的系统调用的实现机制,其中讲到了从Ring3跳转到Ring0之后直接进入了KiFastCallEntry
Tishion·2012-05-27 13:01

Windows系统调用架构分析—也谈KiFastCallEntry函数地址的获取

因为最近在学习《软件调试》这本书,看到书中的某个调试历程中讲了Windows的系统调用的实现机制,其中讲到了从Ring3跳转到Ring0之后直接进入了KiFastCallEntry这个函数。
OtishionO·2012-05-27 13:00

费尔V8智能杀毒多处内核拒绝服务漏洞

V8杀毒软件的动态防御驱动filnk.sys在内核对多个系统函数进行了hook,但是对Ring3传递进来的参数都没有任何的有效性检查就直接使用了。因此,造成了内核拒绝服务漏洞。
hu3167343·2012-05-24 11:00

Linux 环境下的内核态与用户态

Linux使用了Ring3级别运行用户态,Ring0作为内核态,没有使用Ring1和Ring2。Ring3状态不能访问Ring0的地址空间,包括代码和数据。
Tommy_wxie·2012-05-22 10:00

VB6实现Ring3下直接调用Ring0层函数,反一切R3下API Hook。

接论坛帖子:http://topic.csdn.net/u/20120518/18/9a00ec5c-b3d1-4a1f-9bc1-ba1a47b52463.html例子应用如下。我只是给一个方法给大家,这个方法肯定很麻烦,有需求的人可以用。添加Module1Privateasm_CallCode()AsByte,KiFastSystemCall&,KiIntSystemCall& Private
a1875566250·2012-05-20 13:00

驱动程序开发学习(一)概述

borland.mblogger.cn/doublefisher/posts/24474.aspx用户模式与内核模式  从Intel80386开始,出于安全性和稳定性的考虑,该系列的CPU可以运行于ring0~ring3
masofeng·2012-05-08 08:00

linux内核编译与配置

答:有关CPU体系结构,各处理器可以有多种模式,而LInux这样的划分是考虑到系统的安全性,比如X86可以有4种模式RING0~RING3 RING0特权模式给LINUX内核空间RING3给用户空间linux
darling757267·2012-04-22 18:00

过保护 DebugPort 清零相关

 一个程序被ring3调试器调试时,有很多的调试特征可以检测,本论坛也有专门的帖子详细论述,但有个非常根本的标志ring3也是可以检测的比较少人提及,那就是_EPROCESS.DebugPort。
sgzwiz·2012-04-19 19:42

高手进阶windows内核定时器之一

ring3的定时器要精准得多,并且使用它,稳定性高,系统开销小,无需消息队列,且功能强大,是作为数据采集绝好的定时器。
·2012-04-16 14:00

高手进阶windows内核定时器之一

谈到定时器在ring3下有一个,启动和关闭都比较简单,通过两个api函数SetTimer和KillTimer来完成的。对于ring0中的定时器,稍微复杂一些。
·2012-04-16 14:00

VC下提前注入进程的一些方法1——远线程不带参数

    前些天一直在研究Ring3层的提前注入问题。所谓提前注入,就是在程序代码逻辑还没执行前就注入,这样做一般用于HookAPI。(转载请指明出处)自己写了个demo,在此记下。    
breaksoftware·2012-04-13 23:00

汇编指令sysenter 和sysexit这两条新汇编的解释

做过NativeAPI编程的话应该就知道,即使是看起来像内核的NTDLL.dll也只不过是Ring3级的,最终的系统调用是由ntoskrnl.exe程序向内核发送IO请求,然后内核与驱动程序返回执行结果
·2012-04-11 16:00

最近有点儿衰,力不从心,没头绪。

最近在做技术调查的项目:  Ring3级下小型浏览器沙盒  定向搜索引擎(电商产品横纵向对比)疯狂看论文,开始新一轮研究。
hackfreer·2012-03-31 19:50

基于Windows8与Visual Studio11开发第一个ring3驱动程序

USB,是英文UniversalSerialBUS(通用串行总线)的缩写,而其中文简称为“通串线,是一个外部总线标准,用于规范电脑与外部设备的连接和通讯。是应用在PC领域的接口技术。USB接口支持设备的即插即用和热插拔功能。USB是在1994年底由英特尔、康柏、IBM、Microsoft等多家公司联合提出的。 从1994年11月11日发表了USBV0.7版本以后,USB版本经历了多年的发展,到现在
yincheng01·2012-03-25 20:00

基于Windows8与Visual Studio11开发第一个ring3驱动程序

Windows驱动程序的发展演变我们在学习开发驱动程序时有必要弄清楚Windows设备驱动程序的发展演变过程(为了简便起见,以下简称驱动程序),以便明白我们将要开发什么样的驱动程序。这就象你开发一个应用程序时必须弄清楚它是运行在WINDOWS平台下还是在DOS平台下,否则我们能写出什么样的应用程序就可想而知了。     驱动程序开发者的各项任务之中,有许多是为特定的硬件编写驱动程序。由于WINDO
yincheng01·2012-03-25 19:00

《软件加密与解密》第三版学习日志一

用户模式调试器是指用来调试用户模式应用程序的调试器,他们工作在Ring3级,如OllyDbg、VisualC++等编译器自带的调试器。
fjssharpsword·2012-03-24 17:00

程序人生

哪怕我现在身上只有两毛钱,只要有志同道合的人跟我聊技术,我一样敢跟他从c聊到Linux,从API钩子聊到inlinehook,从Ring3聊到Ring0。聊完了,那晚上吃什么?吃什么并不重要,重要的
zhengzhoudaxue2·2012-03-12 15:00

vc++实现Ring3全局HOOK

 /***********************************************************************//*实现全局hook模块基本完工,测试通过,没有发现异常。        计划1:在hook前首先检验该程序是否已被hook  计划2:添加枚举进程并hook功能  计划3:在备份api时,只备份目标api函数,避免备份整个dll浪费空间  计划4:给
junwong·2012-03-09 16:00

可重用驱动代码片段

以前没有搞过,昨天下午一直搞不好,昨晚看了看NativeAPI参考,在Ring3下只用DDK数据类型并引入NTDLL.DLL写了个例程,编译调试运行通过,拿到驱动程序里编译也可以。
晨曦之光·2012-03-09 14:00

新汇编指令sysenter 和sysexit

做过NativeAPI编程的话应该就知道,即使是看起来像内核的NTDLL.dll也只不过是Ring3级的,最终的系统调用是由ntoskrnl.exe程序向内核发送IO请求,然后内核与驱动程序返回执行结果
nailgo·2012-03-08 21:42

关于监控文件系统上的IRP序列

希望对需要ring0主动向ring3频繁通信的朋友有点帮助基本框架是Minifilter。向minifilter注册回调函数来监控走过文件系统设备上的IRP。
digimon·2012-03-03 16:00
上一页 3 4 5 6 7 8 9 10 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他