Ring3

浅谈Linux内核和CPU架构

之所以有这两部分构成,我想应该是由于考虑CPU体系结构嵌入式ARM处理器有七种工作状态,分别是用户模式、快速中断、外部中断、管理模式、数据访问终止模式、系统模式和为定义指令模式,而X86体系结构的CPU则有RING0~RING3
xiesiyuana·2010-06-09 00:00

浅谈Linux内核和CPU架构

之所以有这两部分构成,我想应该是由于考虑CPU体系结构嵌入式ARM处理器有七种工作状态,分别是用户模式、快速中断、外部中断、管理模式、数据访问终止模式、系统模式和为定义指令模式,而X86体系结构的CPU则有RING0~RING3
xie376450483·2010-06-09 00:00

内核态和用户态的区别

Ring0级别最高,Ring3最低。当一个任务(进程)执行系统调用而陷入内核代码中执行时,我们就称进程处于内核运行态(或简称为内核态)。此时处理器处于特权级最高的(0级)内核代码中执行。
Tinysun·2010-05-30 16:00

Hide your DebugPort in ring0

t=80971一个程序被ring3调试器调试时,有很多的调试特征可以检测,本论坛也有专门的帖子详细论述,但有个非常根本的标志ring3也是可以检测的比较少人提及,那就是_EPROCESS.
lwglucky·2010-05-26 21:55

Hide your DebugPort in ring0

t=80971一个程序被ring3调试器调试时,有很多的调试特征可以检测,本论坛也有专门的帖子详细论述,但有个非常根本的标志ring3也是可以检测的比较少人提及,那就是_EPROCESS.
lwglucky·2010-05-26 21:55

访问 CR4寄存器

CR4寄存器 voidNTAPIHookInt_0D(){  //设置CR4寄存器的TimeStampDisable位,ring3执行rdtsc会引发#GP(0)  //接管0D中断  PINT_VECTOR
laokaddk·2010-05-12 17:51

访问 CR4寄存器

CR4寄存器 voidNTAPIHookInt_0D(){  //设置CR4寄存器的TimeStampDisable位,ring3执行rdtsc会引发#GP(0)  //接管0D中断  PINT_VECTOR
laokaddk·2010-05-12 17:51

内核态与用户态

Ring0级别最高,Ring3最低。其中特权级0(Ring0)是留给操作系统代码,设备驱动程序代码使用的,它们工作于系统核心态;而特权极3(Ring3)则给普通的用户程序使用,它们工作在用户态。
sraing·2010-04-01 17:00

【翻译】Windows 反调试参考翻译

说明这篇文章分类并提供了几种在基于WINDOWSNT的操作系统中使用的反调试技术.反调试技术是程序用来检测自身是否运行于调试器之下的各种方式之一.它们被用于商业执行保护,加壳以及恶意软件,为了阻止或减慢逆向工程过程.我们假定程序是在ring3
lwglucky·2010-03-24 00:00

【翻译】Windows 反调试参考翻译

说明这篇文章分类并提供了几种在基于WINDOWSNT的操作系统中使用的反调试技术.反调试技术是程序用来检测自身是否运行于调试器之下的各种方式之一.它们被用于商业执行保护,加壳以及恶意软件,为了阻止或减慢逆向工程过程.我们假定程序是在ring3
lwglucky·2010-03-24 00:02

【翻译】Windows 反调试参考翻译

说明这篇文章分类并提供了几种在基于WINDOWSNT的操作系统中使用的反调试技术.反调试技术是程序用来检测自身是否运行于调试器之下的各种方式之一.它们被用于商业执行保护,加壳以及恶意软件,为了阻止或减慢逆向工程过程.我们假定程序是在ring3
lwglucky·2010-03-24 00:02

鬼影病毒分析报告

鬼影病毒分析报告一、鬼影病毒概述这是一个木马下载器,使用了ring3恢复内核钩子、感染磁盘引导区(MBR)、多种方法结束杀毒软件等技术自启动并对抗杀毒软件。
李铁军·2010-03-18 10:00

鬼影病毒分析报告

鬼影病毒分析报告一、鬼影病毒概述这是一个木马下载器,使用了ring3恢复内核钩子、感染磁盘引导区(MBR)、多种方法结束杀毒软件等技术自启动并对抗杀毒软件。
李铁军·2010-03-18 10:00

API-HOOK and ANTI-API-HOOK For Ring3

标题:【原创】API-HOOKandANTI-API-HOOKForRing3作者:Anskya时间:2007-01-07,20:56:49链接:http://bbs.pediy.com/showthread.php?t=37586>转载请保留版权.谢谢[email protected]今天突然看到"堕落天才"仁兄的两篇文章感谢他的的文章和共享精神.谢谢...突然手痒..有感而发API-HOOK和A
S.l.e!ep.¢%·2010-03-15 14:00

FileMon源码学习笔记(二)

FileMon源码学习笔记(二)2008-11-2410:41FileMon源码中另一个比较疑惑的地方,FileMon创建了两类设备,一个是用于和ring3通信的GUI设备,另一个是hook的过滤设备,
S.l.e!ep.¢%·2010-02-18 15:00

RING0和RING3穿透还原软件zz

RING0和RING3穿透还原软件zz写了两天的程序,总算把RING3下的搞定了。
小默·2010-02-06 00:00

绕过主动防御的代码Inject方法思考

关于代码注入Ring3层主有:l远程线程CreateRemoteThreadl消息钩子SetWindowsHookExlRing3APCQueueUserApcl修改线程文SetContextThread
S.l.e!ep.¢%·2010-02-03 12:00

DKOM更改ETHREAD--进程防杀

的确,瑞星此时在防止Ring3下进程的防杀几乎没有缺憾!2.直接操作线程的ETHREAD结构的几个变量!只是简单的DKOM,就达到了底层HOOK函数所达到的功能!
zyustc·2010-01-23 16:00

【原创】处女贴ring3改KernelCallbackTable防 key Hook

t=105107&highlight=WH_KEYBOARD_LL【原创】处女贴ring3改KernelCallbackTable防keyHook__declspec(naked) test(){  _
S.l.e!ep.¢%·2010-01-13 21:00

内核态与用户态

Ring0级别最高,Ring3最低。其中特权级0(Ring0)是留给操作系统代码,设备驱动程序代码使用的,它们工作于系统核心态;而特权极3(Ring3)则给普通的用户程序使用,它们工作在用户态。
skywalkzf·2010-01-13 14:00

绕过主动防御的代码注入

关于代码注入Ring3层的方法主要有:l远程线程CreateRemoteThreadl消息钩子SetWindowsHookExlRing3APCQueueUserApcl修改线程上下
S.l.e!ep.¢%·2010-01-08 11:00

Ring3下注入DLL的另类方法,能过杀软和游戏NP(源码)

Ring3下注入DLL的另类方法,能过杀软和游戏NP(源码)    注入DLL是做全局钩子或者拦截类软件都有可能用到的技术,如果做外挂的话我们也有可能需要注入一个DLL到游戏进程中去干点什么“坏事”。 
S.l.e!ep.¢%·2010-01-04 21:00

绕过主动防御的代码注入方法思考

关于代码注入Ring3层的方法主要有: l 远程线程CreateRemoteThread l 消息钩子SetWindowsHookEx l Ring3 APC QueueUserApc l 修改线程上下文
xuehu2009·2010-01-04 00:00

绕过主动防御的代码注入方法思考

关于代码注入Ring3层的方法主要有: l 远程线程CreateRemoteThread l 消息钩子SetWindowsHookEx l Ring3 APC QueueUserApc l 修改线程上下文
xuehu2009·2010-01-04 00:00

Hook MBR绕过Win7磁盘防写清零文件

磁盘防写清零文件文章作者:Styxal@THSS原始出处:邪恶八进制信息安全团队(www.eviloctal.com)/*本篇属菜鸟练手之作,大牛飘过即可*/依照MJ大牛的感叹,“Win7的系统文件防护太强大了”——Ring3
zyustc·2009-12-24 15:00

模拟键盘鼠标操作

其实就是使用了WinIo这样一些打开进程在Ring3访问端口权限的库。这里会详细分析一下他们的实现机制,以及对付这些工具的推荐方法。
whf727·2009-11-18 21:00

转XTrap驱动分析

Ring3层包括几个dll和一个进程。看里面貌似使用了pipe相关的函数,运行时也起了一个进程。所以XTrap的架构应该和NP很类似,但是实现上就要弱很多了。
whf727·2009-11-18 21:00

隐藏进程检测

 隐藏进程检测UserMode下的隐藏进程检测我们先来看一些简单的方法,这些方法可以用在ring3下,用不着驱动。检测的原理是每一个进程活动时都会暴露一些痕迹,可以通过这些痕迹检测到它们。
whf727·2009-11-17 21:00

HOOK SSDT Hide Process (一)

这个表就是一个把ring3的Win32API和ring0的内核API联系起来。SSDT并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸
S.l.e!ep.¢%·2009-10-24 23:00

内核权限,自古就是兵家必争之地

但最初发作的病毒体总是从ring3开始的——换句话说,任你未来会成长为何等的武林高手,我都可以在你学走路的时候杀掉你——知晓了SSDT的这点优势,所有的病毒咂吧咂吧也就都没味儿了。
鹰击长空·2009-08-31 22:00

Hook导入表 —— 实现挂钩FreeLibaray和HOOK延迟加载模块的API

Hook导入表——实现挂钩FreeLibaray和HOOK延迟加载模块的APIHook导入表 —— 实现挂钩FreeLibaray和HOOK延迟加载模块的API 最近在研究Windows Ring3上的
iniwf·2009-08-30 21:00

Zw函数与Nt函数的分别与联系

Ring3中的NATIVEAPI,和Ring0的系统调用,都有同名的Zw和Nt系列函数,一度让初学者感到迷糊。N久前的我,也是相当的迷糊。
whf727·2009-08-24 15:00

获取当前进程/线程的ID、句柄和内核地址

获取当前进程/线程的ID、句柄和内核地址 在用户态(RING3)和内核态(RING0)下,获取这些值的函数是不同的,而且这些函数的实现原理也是不同的,下面做个小结: 1.用户态(RING3)下 2.内核态
misterliwei·2009-08-21 10:00

vc++实现Ring3全局HOOK

 /***********************************************************************//*实现全局hook模块基本完工,测试通过,没有发现异常。        计划1:在hook前首先检验该程序是否已被hook  计划2:添加枚举进程并hook功能  计划3:在备份api时,只备份目标api函数,避免备份整个dll浪费空间  计划4:给
yincheng01·2009-08-17 14:00

vc++实现Ring3全局HOOK

/***********************************************************************//*实现全局hook模块基本完工,测试通过,没有发现异常。 计划1:在hook前首先检验该程序是否已被hook 计划2:添加枚举进程并hook功能 计划3:在备份api时,只备份目标api函数,避免备份整个dll浪费空间 计划4:给my_EventPro
winzenghua·2009-08-17 14:00

一个注册表权限设置程序例子

用着效果还挺不错的,至少现在好多病毒在RING3下修改注册表都还没有考虑权限问题。
zyq5945·2009-08-11 15:00

驱动学习笔记–irp

irp相当于ring3下的消息,应用程序对驱动程序进行操作的时候会发出相应的消息,驱动程序根据这些消息做出相应的操作。这些操作通过我们自己编写的派遣函数来决定执行什么样的操作。看下面流
qinlicang·2009-08-05 12:00

Windows中FS段寄存器 V2

代码运行在RING0(系统地址空间)和RING3(用户地址空间)时,FS段寄存器分别指向GDT(全局描述符表)中不同段:在RING3下,FS段值是0x3B(这是WindowsXP下值;在Windows2000
misterliwei·2009-07-29 18:00

内核态和用户态的区别

Ring0级别最高,Ring3最低。当一个任务(进程)执行系统调用而陷入内核代码中执行时,我们就称进程处于内核运行态(或简称为内核态)。此时处理器处于特权级最高的(0级)内核代码中执行。
easylife206·2009-07-08 23:29

内核态和用户态的区别

Ring0级别最高,Ring3最低。当一个任务(进程)执行系统调用而陷入内核代码中执行时,我们就称进程处于内核运行态(或简称为内核态)。此时处理器处于特权级最高的(0级)内核代码中执行。
easylife206·2009-07-08 23:29

Windows APC机制(二)

上文中讲到投递UserModeAPCs是很特殊的,道理很简单,因为UserModeAPC是ring3下的回调函数,显然ring0中的KiDeliverAPC()不能像KernelModeAPC那样直接call
better0332·2009-06-29 13:00

驱动层和应用层的同步通信(转)

首先是同步问题,通过Ring3创建事件,并将该事件传递给Ring0,同时Ring3创建监控线程,等待Ring0发起事件。                                          
newfire2000·2009-06-11 10:16

ring0和ring3的本质区别

ring0和ring3的本质区别intel处理器实现了4个权限级别ring0-ring3。windows使用了两个ring0和ring3
剑父的技术之路·2009-06-11 09:00

《DDK学习笔记》1---入门

用于创建设备对象及符号连接,以及其它初使化操作,如分配池内存等.1.2 一个出口(DriverUnload):删除符号连接与设备对象,并释放已经分配的各种资源,如池内存等1.3 几个DispatchHandler:用于响应Ring3
Augusdi·2009-06-06 16:00

可重用驱动代码片段

以前没有搞过,昨天下午一直搞不好,昨晚看了看NativeAPI参考,在Ring3下只用DDK数据类型并引入NTDLL.DLL写了个例程,编译调试运行通过,拿到驱动程序里编译也可以。
Augusdi·2009-06-06 16:00

几种门调用

11/19(这仅是一篇日记而已…)大二时看网上的“无驱执行ring0代码”看得我一头雾水,今天重新拿起来看了几遍,有点收获,将想法记录一下….X86平台上,cpu可以工作在三个特权级别下,ring0—ring3
adward·2009-04-28 13:00

另类挂钩 RING3数据包监视---------看雪 qihoocom

另类挂钩 RING3数据包监视 前几天朋友让帮忙写一个RING3程序来监视TCP包并做数据包分析 本来想HOOK ws2_32!
·2009-02-04 10:00

Ring0和Ring3权限级

    本节的内容以知识为主,比较少技巧和经验。读者只需要了解,不需要熟练。如果你熟悉x86架构,请直接跳过这节。    现在探讨内核程序和应用程序之间的本质区别。除了能用WDK编写内核程序和阅读一部分Windows的内核代码之外,我们还需要了解它们的本质是什么,它们和我们熟悉的应用程序有什么区别。    Intel的x86处理器是通过Ring级别来进行访问控制的,级别共分4层,从Ring0到Ri
sheen1112·2009-01-08 10:10

初窥Windows内核——学习Windows Research Kernel手记(三)

这时CPU的工作状态由之前的用户态切换到内核态(也就是驱动开发中常说的ring3到ring0)。在这个切换过程中,系统要做一些前期的工作。因为系统服务例程是占用调用者线程的上下文来
saict·2008-12-20 14:00

在Windows下进行底层IO操作之CMOS数据的读取和显示

彭学周(Favory.Peng) CPU执行命令一般分为:特权(Privileged-Ring0)和非特权(Non-PrivilegedMode-Ring3)两种模式;Windows系统下的程序都是在Ring3
favory·2008-10-09 00:00
上一页 3 4 5 6 7 8 9 10 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他