windows内核SSDT

Windows内核解析-代码段执行过程

汇编代码在CPU中的执行过程如下:一、拆分段选择子RPL:请求特权级别TI:TI=0查GDT表TI=1查LDT表(Windows没有使用)INDEX:处理器将索引值乘以8再加上GDT表的基址,就是要加载的段描述符二、查表得到段描述符根据段选择子的TI值为0,查询GDT表根据段选择子的INDEX的值,找到对应的段描述符三、权限检查如果是非一致代码段,要求:CPL==DPL并且RPL=DPL(系统内核
smile_file·2020-06-27 00:32

Winxp双机调试环境搭建

②配置VMware的管道虚拟串口③配置WinDbg④设置Windows内核符号表配置WinXp系统启动项打开虚拟机中Windows的系统盘C盘,在文件夹选项中设置为显示所有文件,然后找到boot.ini
team39·2020-06-26 18:16

驱动学习站点

对于从事Windows驱动开发的朋友,或者是对Windows内核感兴趣的朋友,以下几个BLOG值得经常看看!
stretch·2020-06-26 15:50

完成端口模型的理解

完成端口的优点1.我想只要是写过或者想要写C/S模式网络服务器端的朋友,都应该或多或少的听过完成端口的大名吧,完成端口会充分利用Windows内核来进行I/O的调度,是用于C/S通信模式中性能最好的网络通信模型
柠檬有点酸·2020-06-25 22:53

windows内核提权(一)之栈溢出

前言这个学期在做一个安全软件项目,涉及到windows的驱动开发,也因此项目为我敲开了windows内核的大门。这里面的东西奥妙无穷,亟待探索。
清风过隙·2020-06-25 20:59

SSD tensorflow及源码详解

原文地址https://blog.csdn.net/c20081052/article/details/80391627SSDtensorflow及源码详解本文主要针对SSD的tensorflow框架下的实现的源码解读即对网络模型的理解
吃糙米饼的天然然·2020-06-25 17:29

寒江独钓Windows内核编程-双机调试1

我使用的书是《寒江独钓Windows内核安全编程》,这个系列将围绕三本书进行,一本就是刚刚所提到的,还有两本分别为《天数夜读从汇编语言到Windows内核编程》和《Windows内核安全与驱动开发》。
Kiopler·2020-06-25 12:50

Windows处理器调度机制

Windows处理器调度机制一.调度优先级1.Windows处理器调度力度为线程,Windows为每一个线程分配调度优先级2.调度器根据优先级采用抢占式调度策略,让具有最高优先级的线程首先执行3.Windows
O黑背·2020-06-25 04:56

外挂制作之------过NP技术

1,SSDTSSDT即系统服务描述符表,它的结构如下(参考《UndocumentWindows2000Secretes》第二章):typedefstruct_SYSTEM_SERVICE_TABLE{PVOIDServiceTableBase
qjzh874·2020-06-24 22:38

搞定QQ游戏系列(寻仙,DNF等等)驱动保护TesSafe.sys

1.用RKU看一下SSDTSSDTShadow,发现SSDT并没有被HOOK,SSDTShadowHOOK了5个调用:NtUserBuildHwndListNtUserFindWindowExNtUserGetDCNtUserGetDCExNtUserGetForegroundWindow
pll621·2020-06-24 20:27

Windows+vm双机调试内核

//docs.microsoft.com/zh-cn/windows-hardware/drivers/gettingstarted/writing-a-very-small-kmdf–driver《Windows
东坡何罪发文章总是审核不通过,去博客园了·2020-06-24 19:06

windows:跨进程读数据

但越是大型的软件,防护做的越好,大概率会做驱动保护,比如hookSSDT表等,这些系统调用都会先被过滤一次,导致返回的数据不是想要的;为了确保能读到目标进程数据,最好重写ReadProcessMemory
第七子007·2020-06-24 17:00

Windows内核模式的线程同步之事件(Event)

HANDLEhEvent=CreateEvent(PSECURITE_ATTRIBUTESpsa,BOOLbManualReset,BOOLbInitialState,PCSTRpszName);上面是创建一个事件对象,psa是该内核对象的安全属性,bManualReset是用来告诉系统创建一个手动重置事件(TRUE),还是创建一个自动重置事件(FALSE),bInitialState表示事件的初
mknanren·2020-06-24 15:21

windows内核情景分析---设备驱动

设备驱动设备栈:从上层到下层的顺序依次是:过滤设备、类设备、过滤设备、小端口设备【过、类、过滤、小端口】驱动栈:因设备堆栈原因而建立起来的一种堆栈老式驱动:指不提供AddDevice的驱动,又叫NT式驱动Wdm驱动:指提供了AddDevice的驱动驱动初始化:指IO管理器加载驱动后,调用驱动的DriverEntry、AddDevice函数设备栈中上层设备与下层设备的绑定关系不是一对一,而是一对多。
maomao171314·2020-06-24 13:07

Windows Hook原理与实现

WindowsHook原理与实现教程参考自《逆向工程核心原理》SSDTHook参考:http://www.cnblogs.com/BoyXiao/archive/2011/09/03/2164574.html1
G4rb3n·2020-06-24 11:47

WinDbg 调试无源码驱动方法

在SoftICE不再更新以后,WinDbg几乎成了windows内核专有调试器,另有国人开发的一款Syser单机内核调试器,不过不争气的是总是喜欢蓝屏,真不知道是自己写的程序先崩溃还是Syser先崩溃,
丛林隐者·2020-06-24 10:44

串口过滤

Windows内核安全与驱动开发》阅读笔记--索引目录https://github.com/minglinchen/WinKernelDev/tree/master/comcap串口过滤1.串口过滤思路每一个串口在
OneTrainee·2020-06-24 10:00

关于基于优先级的抢占式调度

我参考了Linux内核、eCos以及Windows内核对于抢占式调度的处理,感觉虽然细节上有点差别,但都挺有意思。这里,我想谈谈关于抢占式调度的一些看法。
雷伊_2013·2020-06-24 03:55

使用netlink机制实现内核空间和用户空间的双向消息通讯

linux内核2.6版本中提供的各种用户空间和内核空间的通讯机制中,只有netlink机制能够提供类似于Windows内核中事件通知机制类似的通信能力:既可以从内核空间主动发消息给用户空间(Windows
kevin1078·2020-06-24 00:11

Gloomy对Windows内核的分析(内核反汇编技术)

内核反汇编技术===============================WindowsNT主要是由C写成的,所以总的来说进程本身的反汇编不是很复杂。通常对局部变量和参数的使用是通过地址和用EBP形成的stackframe来进行的。例如:PAGE:801932D4moveax,largefs:0PAGE:801932DApushebpPAGE:801932DBmovebp,esp;堆栈中的fra
峥嵘岁月76·2020-06-23 23:53

Windbg+Vmware驱动调试

Windbg+Vmware驱动调试1.编译好你的驱动,假设名为ShowSSDT.sys,并把驱动符号文件ShowSSDT.pdb发送到MySysSymbols文件夹下(之前设定的自己的调试符号文件夹)2
买成衣的女程序员·2020-06-23 22:00

探究Windows内核你知多少

转:https://blog.csdn.net/broadview2006/article/details/4171397Windows内核如上所述,现代操作系统的一个明显特征就是用户空间和系统空间的划分
huanongying131·2020-06-23 16:28

Windows内核原理与实现之驱动对象和设备对象

当I/O管理器加载一个设备驱动程序时,它会创建一个驱动程序对象,该对象在对象管理器目录中的路径为:\Driver\或\FileSystem\。如果是文件系统类型的驱动程序,则该对象被放置在"\FileSystem"目录下,否则放在"\Driver"目录下。因此,驱动程序可粗略地分为文件系统驱动程序和非文件系统驱动程序。与驱动程序相关的另一种对象是设备对象。每个设备对象代表了系统中的一个设备,包括逻
forcj·2020-06-23 08:32

Windows内核原理与实现之Windows I/O软件技术

从操作系统角度而言,I/O软件的模型应该是设备无关的,因而,系统可以支持各种设备,甚至是未来出现的设备。针对I/O设备的软件模型必须有足够的通用性,至少能够将上节介绍的各种I/O硬件特性涵盖到模型之中。另外,操作系统必须提供有效的管理手段,从而让设备的软件组件融入到系统的I/O处理框架中,这样,这些软件可以专注于针对特定设备的功能需求,而不必过多地考虑与系统打交道或者与系统中其他模块的协作。例如,
forcj·2020-06-23 08:32

Overlapped I/O 和 完成端口等异步IO在内核中的通知方式

老的处理方式只是简单的采用多线程阻塞读写数据,这几天突然想到了完成端口,于是换成完成端口后,只用一个线程,投递上百个Overlapped读写操作,效率比原来高了许多,因此就想从windows内核层里去理解完成端口等异步
雨中风华·2020-06-23 07:55

Windows内核编程》---WDM驱动程序的基本结构和实例

WDM驱动的基本结构:WDM驱动模型是建立在NT式驱动程序模型基础之上的。对于WDM驱动程序来说,一般都是基于分层的,即完成一个设备的操作,至少要由两个驱动设备共同完成。1)物理设备对象和功能设备对象物理设备对象(PhysicalDeviceObject,PDO)和功能设备对象(FunctionDeviceObject,FDO)的关系是“附加”与“被附加”的关系。当PC插入某个设备时,PDO会自动
erin45·2020-06-23 06:06

一个LINUX狂人的语录

这篇文章也不是用来比较Linux和Windows内核效率,文件系统,网络服务的。我现在是作为
emlinux·2020-06-23 06:44

Windows 驱动程序设计(一)

驱动程序是运行在内核层,其相当于windows内核的“补丁”,针对不同硬件设备会有不同的“补丁
无名大贝·2020-06-23 02:41

rootkit

检测工具介绍1.4本书所涉及的概念和工具第二章Rootkit与检测技术相关的硬件基础2.1三环和零环2.2保护模式的内存保护2.3IDT/GDT/LDT2.4系统调用环境切换第三章Rootkit与检测技术相关的Windows
cosmoslife·2020-06-23 00:55

Window XP驱动开发(十九) windows内核高级调试技巧(双机调试)

转载请标明是引用于http://blog.csdn.net/chenyujing1234欢迎大家拍砖!在驱动程序的开发中,经常会遇到系统崩溃一情况,我们很难想像用VC的调试器那样单步调试程序。但还是有一些高级驱动程序调试技巧,可以帮助找出驱动程序中的Bug。另外,利用一些第三方工具软件,也可以帮助程序员找到驱动程序中的漏洞,从而提高开发效率。1、一般性调试一般性调试技巧包括打印调试信息、查看dum
Jackchenyj·2020-06-22 22:10

Windows线程基础

关于内核对象请看windows内核对象简介。线程内核对象,操作系统用线程内核对象来管理线程,操作系统还用它来存放统计信息。
chentaihan·2020-06-22 22:02

进程隐藏与进程保护(SSDT Hook 实现)(一)

转自http://www.cnblogs.com/BoyXiao/archive/2011/09/03/2164574.html文章目录:1.引子–Hook技术:2.SSDT简介:3.应用层调用Win32API
Ice·2020-06-22 14:58

Windows内核编程基础之使用LIST_ENTRY

Windows内核中使用LIST_ENTRY作为i链表,这个结构随处可见。看看下面的代码,构建了一个链表,每个节点是又一个文件名和一个文件大小两个数据成员组成的结构。
PandaMohist·2020-06-21 21:09

VirtualKD+Windbg+vmware 极速调试

VirtualKD主要是用来提高当使用vmware或virtualBox进行windows内核调试时的速率。以前的双机标准调试方法是利用虚拟COM串口,其速率很低。通常,通过虚拟COM串
人大戴表·2020-06-21 17:15

Windows内核学习(1)

Windows内核学习内存、进程、线程、I/O等核心体设备驱动硬件抽象层(HAL)内存布局2GB内核空间0xffffffff64kb非法空间0X7FFFFFFF进程空间0X7FFF00064kbNULL
Air_cat·2020-06-21 16:08

Windows内核编程》---系统线程和同步事件

系统线程:在驱动中生成的线程一般是系统线程,系统线程所在的进程名为“System”,用到的内核API函数是:NTSTATUSPsCreateSystemThread(OUTPHANDLEThreadHandle,INULONGDesiredAccess,INPOBJECT_ATTRIBUTESobjectAttributesOPTIONAL,INHANDLEProcessHandleOPTIONA
ACE1985·2020-06-21 16:12

windows内核模式下隐藏进程

进程隐藏之内核实现1、在内核模式下,系统为每个进程维护了一个EPROCESS结构体,系统所有的进程是通过EPROCESS结构体中的一个ActiveProcessLinks指向的双端链表连接起来的,通过winDBG内核调试工具就可以发现并获取其相对于EPROCESS结构体的地址(0x88),这样我们可以通过遍历该循环链表找到我们的目的进程将其链表的节点删除即可隐藏该进程。(EPROCESS中进程PI
A8572785·2020-06-21 16:55

PCHunter —— 很强大的系统信息查看工具

附:资料里详细的主要功能有这些:1.进程、线程、进程模块、进程窗口、进程内存信息查看,杀进程、杀线程、卸载模块等功能2.内核驱动模块查看,支持内核驱动模块的内存拷贝3.SSDT、ShadowSSDT、FSD
逆风微光·2020-06-21 01:27

WinDbg+VMWare双机调试环境搭建

因为要学习一下驱动开发,需要搭建一个调试环境,我按照《寒江独钓——windows内核安全编程》一书搭建了一个WinDbg+VMWare的双机调试环境,这其中遇到了一些小问题,虽然只是一些细节问题,但是如果初次遇到的话还是让人有点抓狂的
bincheung·2020-06-21 00:26

macOS Catalina 10.15.5(19F2200)原版镜像 by OC-0.6.0

OpenCore-0.6.0引导,机型设置为iMac19.1,适合大多数主板/笔记本安装,个别主板/笔记本微调适合自己主板的机型或SSDT即可。
shuiyunxc·2020-06-16 23:34

java8 stream的分组功能,具体时候是真的好用

我好将接收参数修改成以下格式(Listlist):classDto{StringclassId;Listlis
专注于java的程序员·2020-06-10 14:00

Windows内核驱动开发:HelloWorld

测试信息DevMachine:WindowsVersion:2004(19041.264)WDKVersion:10.0.19041.1SDKVersion:10.0.19041.1VisualStudio:Community2019TestMachine:Windows7SP1+KMDManager+DbgView开发环境搭建参照:https://docs.microsoft.com/zh-cn
CN_Simo·2020-06-07 19:00

第六章 内核机制

第六章内核机制这章我们讨论Windows内核提供的各种机制。这些中的一部分对驱动开发者有直接的用处。其他的是一些驱动开发者需要理解的机制,这将帮你调试和大体理解系统的活动。
OneTrainee·2020-05-31 21:00

macOS Catalina 10.15.4(19E2269)原版镜像 by OC-0.5.9

OpenCore-0.5.9引导,机型设置为iMac19.1,适合大多数主板/笔记本安装,个别主板/笔记本微调适合自己主板的机型或SSDT
shuiyunxc·2020-05-25 20:29

第四章 驱动从开始到结束

在这章中:介绍驱动初始化客户端代码Create和Close派发函数DeviceIoControl派发函数安装和测试介绍我们将用一个简单的线程来解决Windows内核线程优先级设置不灵活的问题。在用户模
OneTrainee·2020-05-20 09:00

Windows内核漏洞学习-空指针解引用

0x00:前言在看雪论坛看到许多关于HEVD的Windows内核漏洞教程,其中有一个是翻译国外的一个系列,感觉讲的很好,接下来就会跟着他将这个HEVD系列的漏洞走一遍了。
Wwoc·2020-05-17 16:07

两种异常(CPU异常、用户模拟异常)的收集

Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html两种异常(CPU异常、用户模拟异常)的收集文章的核心:异常收集的是什么
OneTrainee·2020-04-24 15:00

驱动小程序3

服务表基址ULONG*ServiceCounterTableBase;//计数表基址ULONGNumberOfServices;//表中项的个数UCHAR*ParamTableBase;//参数表基址}SSDT
MagicalGuy·2020-04-08 11:08

SSDT-武汉B柱1#柔性焊接生产线项目招标公告

SSDT-武汉B柱1#柔性焊接生产线项目招标公告受上海赛科利汽车模具技术应用有限公司委托,为其所需的SSDT-武汉B柱1#柔性焊接生产线项目进行国内公开招标,兹邀请合格的投标人前来投标招标编号:SHJW-SB
恒联网·2020-04-06 21:28

新系统配置Mac平台的开发环境

1.系统重装教程http://www.iplaysoft.com/macos-usb-install-drive.html账户名称和全名使用英文开启第三方SSDTrim功能sudotrimforceenable2
雨桥明夜·2020-04-03 19:41
上一页 6 7 8 9 10 11 12 13 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他