windows内核SSDT

Windows内核原理与实现笔记》(五)Windows微内核中进程和线程的数据结构KTHREAD,KPROCESS

Windows中进程和线程的数据结构Windows内核中的执行体层负责各种与管理和策略相关的功能,而内核层(或微内核)实现了操作系统的核心机制。进程和线程在这两层上都有对应的数据结构。
kernweak·2020-09-10 21:08

Linux比windows更适合工作和娱乐

这篇文章也不是用来比较Linux和Windows内核效率,文件系统,网络服务的。我现在是作为一
Octavian·2020-09-10 21:10

SSD卡对redis的影响

AspromisedtodayIdidsomeSSDtesting.Thesetup:aLinuxboxwith24GBofRAM,withtwodisks.A)Aspinningdisk.b)AnSSD
weixin_34008784·2020-09-10 19:53

windows内核原理及实现-----进程线程管理------3.3节中 windows中进程线程的数据结构...

3.3节中windows中进程线程的数据结构内核层进程对象:KPROCESStypedefstruct_KPROCESS{////Thedispatchheaderandprofilelistheadarefairlyinfrequently//referenced.//DISPATCHER_HEADERHeader;LIST_ENTRYProfileListHead;////Thefollowi
weixin_30487317·2020-09-10 18:11

Windows内核基础之进程

1.进程结构体EPROCESS每个运行中的进程在Windows内核中都有一个EPROCESS的结构体,这个结构体包含了进程所有重要的信息。
tutucoo·2020-09-10 18:41

windows内核情景分析--窗口消息

这个模块作为一个扩展的内核模块,提高了一个扩展额系统服务表,专用于窗口图形操作,相应的,这个模块中添加了一个扩展系统调用服务表ShadowSSDT,以及一个扩展的系统调用服
maomao171314·2020-09-10 15:18

windows内核情景分析---内核对象

写过Windows应用程序的朋友都常常听说“内核对象”、“句柄”等术语却无从得知他们的内核实现到底是怎样的,本篇文章就揭开这些技术的神秘面纱。常见的内核对象有:Job、Directory(对象目录中的目录)、SymbolLink(符号链接),Section(内存映射文件)、Port(LPC端口)、IoCompletion(Io完成端口)、File(并非专指磁盘文件)、同步对象(Mutex、Even
maomao171314·2020-09-10 15:18

(转)完全用Linux工作---作者:王垠(文章很长)

这篇文章也不是用来比较Linux和Windows内核效率,文件系统,网络服务的。我现在是作为
l176266956·2020-09-10 14:06

Windows NT引导过程源代码分析(三)

1.3建立用户登录会话Windows内核在阶段1初始化的最后,启动了一个用户模式进程——会话管理器子系统(smss)。
hnzwx888·2020-09-10 13:14

Windows内核常见数据结构(进程相关)

进程的相关结构非常重要,重点学习~有一些内容参考自:http://dev.csdn.net/article/20/20210.shtm进程结构中,首推EPROCESS,标记一些重要成员(可能不全):lkd>dt_EPROCESSnt!_EPROCESS+0x000Pcb:_KPROCESS//进程控制块+0x06cProcessLock:_EX_PUSH_LOCK+0x070CreateTime:
cosmoslife·2020-09-10 13:12

windows内核情景分析---进程线程1

本篇主要讲述进程的启动过程、线程的调度与切换、进程挂靠一、进程的启动过程:BOOLCreateProcess(LPCTSTRlpApplicationName,//LPTSTRlpCommandLine,//commandlinestringLPSECURITY_ATTRIBUTESlpProcessAttributes,//SDLPSECURITY_ATTRIBUTESlpThreadAttri
mmmsss987·2020-09-10 10:08

windows内核情景分析---进程线程

本篇主要讲述进程的启动过程、线程的调度与切换、进程挂靠进程的启动过程:BOOLCreateProcess(LPCTSTRlpApplicationName,//LPTSTRlpCommandLine,//commandlinestringLPSECURITY_ATTRIBUTESlpProcessAttributes,//SDLPSECURITY_ATTRIBUTESlpThreadAttribu
maomao171314·2020-09-10 10:36

第一天:搭建Windows内核驱动开发调试环境

由于已经有很多很好的文章了,我就不重复了。这里,贴出几个网址,供大家参考。对不同的系统配置方法不同,我们分xp和win7来考虑:xp:点击打开链接win7:http://wenku.baidu.com/view/c96d7c77a417866fb84a8e47.html环境搭建好了以后,就可以开始我们的内核驱动编程之旅了。
xin_wu_hen·2020-08-26 16:43

网络攻防-20169213-刘晶-第七周作业

Windows操作系统的基本结构如下图,分别运行于处理器特权模式(ring0)的操作系统内核,以及运行在处理器非特权模式(ring3)的用户空间代码Windows操作系统内核的基本模块:Windows执行体、Windows
weixin_30316097·2020-08-26 14:10

Windows内核(HEVD) 之UAF

UAF这个词确实不算陌生不过要说的一点是在CTF里面的应用一般是堆块在释放的时候堆块指针没有清空然后再次申请申请到那块的区域然后就可以通过一开始的堆块指针来写就达到了修改的目的然后在这个样例里面来说并不是堆块算是内存池===这个概念还是不太了解等到扒扒我的书然后可以先看这个样例的代码可以看到有几个重要函数AllocateUaFObjectNonPagedPool这个函数就是申请一个自己定义的结构体
pipixia233333·2020-08-26 07:44

【翻译】使用VMWare GDB和IDA调试Windows内核

自http://bbs.pediy.com/showthread.php?t=135229最近喜欢用IDA搞一些内核的东西,于是就到处找IDA关于内核方面的东东。这篇文章实在原文的基础上进行了一定的封装,也算是半原创的东东吧~希望大家不要拍砖撒~VMWare的GDB调试器功能比较简单也比较基础,该调试器并不知道处理器和线程的任何信息(对于Windows系统),因而如果想要得到一些高等级的信息,我们
crystal0011·2020-08-25 17:48

内核数据保护KDP:防止数据损坏的一种新平台安全技术

内核数据保护(KernelDataProtection,KDP)是一项新技术,可以通过基于虚拟化的安全性(VBS)保护部分Windows内核和驱动程序。K
systemino·2020-08-25 17:11

第四代机器狗驱动代码

#include#includeULONG*realssdt;#defineSEC_IMAGE0x01000000#pragmapack(1)typedefstructServiceDescriptorEntry
Hackett·2020-08-25 15:17

Windows内核 - 调试:符号文件和Windbg的安装与环境配置

flyingstarsoul2007-9-21内核调试:内核调试可以帮助我们查看内核的内部数据结构,跟踪内核中的函数,从而探查Windows的内部机理。内核调试工具有Microsoft的Windows调试工具箱、CompuwareNuMega的SoftIce、www.sysinternals.com上的LiveKD等等。内核调试所需的符号文件:符号文件包含了函数和变量的名称,由链接器产生,在调试过
blizmax6·2020-08-25 11:56

windbg 调试virtualbox xp问题及解决

按照《从汇编语言到windows内核编程》中方法设置完以后,windbg中提示:Waitingtoreconnect....底下出现:Debuggeenotconnected网上找到一篇解决方法http
buck·2020-08-25 02:03

Windows源代码部分公开

我已经初窥到这一代码包,Windows内核
iteye_3619·2020-08-24 22:54

王垠:完全用Linux工作

这篇文章也不是用来比较Linux和Windows内核效率,文件系统,网络服务的。我现在是作为
九十三大人·2020-08-24 17:05

Windows内核编程基础篇之字符串的拷贝

因为字符串不再是空结束的,所以用wscpy来拷贝字符串是不行的。UNICODE_STRING可以用RtlCopyUnicodeString来进行拷贝,在进行这种拷贝的时候,最需要注意的一点是:拷贝目的字符串buffer必须有足够的空间。如果buffer的空间不足,字符串会考倍的不完全。这是一个比较隐蔽的错误。下面举个例子:UNICODE_STRINGdst;///--目的字符串WCHARdst_b
PandaMohist·2020-08-24 13:16

Win32 POSIX编程-Task篇

考虑到对windows内核不熟悉,打算继续用POSIXAPI。
iteye_14832·2020-08-24 08:40

网络安全学习日记1

2.IDAPro,OllyDbg和WinDbg解析:[1]静态反汇编工具:IDAPro[2][2]动态反汇编工具:OllyDbg[3][3]Windows内核调试工具:WinDbg[4]3.端口扫描目的解析
1000sprites·2020-08-24 06:21

内核文件ntoskrnl.exe,ntkrnlpa.exe的区别??

其中,我在网上搜索到的关于SSDTHOOK的资料,举的例子,全是关于ntoskrnl.exe。而我在我自己的WinXp系统电脑上用WINDBG查看,我的内核文件时ntkrnlpa.exe。
diaoyo2388·2020-08-24 00:22

Windows内核编程的一个小例子

#include"ntddk.h"voidExample1Unload(INPDRIVER_OBJECTpDrvobj){UNICODE_STRINGusDosDevName;DbgPrint("Example1:Driverisbeingunload.\n");RtlInitUnicodeString(&usDosDevName,L"\\DosDevices\\ExampleLINK2");Io
shifters·2020-08-23 02:58

经典软件推荐:AppVerifier(应用程序验证器)

AppVerifier(应用程序验证器)AppVerifier的客观介绍AppVerifier能识别的问题AppVerifier的使用参考文献“Bug”中最头痛的是那么一类:野指针、无效句柄,访问冲突,跟Windows
五角大寨·2020-08-23 00:16

Windows 内核Hook之IOAPIC编程

Windows内核Hook之IOAPIC编程HOOK系列中,包括应用程序HOOK编程、IDT和IOAPIC编程,其中IOPIC顾名思义I/OADVANCEDPROGRAMMABLEINTERRUPTCONTROLLER
AndyRo1984·2020-08-22 11:54

C#中标准Dispose模式的实现

简单的说来,C#中的每一个类型都代表一种资源,而资源又分为两类:托管资源:由CLR管理分配和释放的资源,即由CLR里new出来的对象;非托管资源:不受CLR管理的对象,windows内核对象,如文件、数据库连接
陆敏技·2020-08-22 02:47

了解WINDOWS内核的关键组件和功能

通过WRK可以了解到,WINDOWS内核绝大部分源代码是由C语言实现,只有部分与处理器相关的调度代码是通过汇编语言实现。
GUO Xingwang·2020-08-22 02:44

PRO www6200338com 安装13535221100 MacOS High Sierra & Sierra

CLOVER支持10.13/10.12.6CPU为第八代,原生支持显卡仿冒支持,platform-id为0x19160000,注入信息通过/CLOVER/ACPI/patched/SSDT-Config.aml
6200338·2020-08-21 07:47

Java8 streams map() 示例

返回给addressDTOList*/ListaddressDTOList=addressList.stream().map(item->addressMapper.ent
Guoye·2020-08-21 02:10

signal,blinker:信号(看我脸色行事)

python中的signal模块便是用来处理信号的,需要注意的是,这个模块不能在Windows上使用,因为Windows内核对信号的支持不是很好,这里我们使用Linux进行操作。
CWG2017·2020-08-21 02:40

提权学习总结

Windows提权:Windows提权总结Windows组策略首选项提权Windows错误配置提权Windows内核溢出漏洞提权绕过UAC提权WindowsPR提权Linux提权:Linux提权总结Linux
谢公子·2020-08-21 01:36

专访调试专家张银奎:读古籍、作古诗的“别致”技术人

从2005年开始公开讲授“Windows内核及高级调试”课程,曾在微软的Webcast和
图灵访谈·2020-08-20 20:36

专访调试专家张银奎:读古籍、作古诗的“别致”技术人

从2005年开始公开讲授“Windows内核及高级调试”课程,曾在微软的Webcast和
图灵访谈·2020-08-20 20:36

“磁碟机”病毒详尽分析报告

病毒运行后首先会在C盘根目录下释放病毒驱动NetApi000.sys,该驱动用来恢复SSDT,把杀毒软件挂的钩子全部卸掉。
WAST·2020-08-20 09:10

WIndows内核学习笔记:分页机制——PAE分页模式

目录前言Chapter4Paging4.1分页模式和控制位4.1.1四种分页模式4.1.2启用和切换分页模式4.1.3分页属性控制4.1.4EnumerationofPagingFeaturesbyCPUID4.2分层页表结构概览4.4PAE分页模式4.4.1PDPTE寄存器4.4.2线性地址转物理地址实验题:实现页表浏览工具0.查看源码1.环境设置2.MFC浏览工具的代码实现3.驱动代码的实现前
jungz7·2020-08-20 08:33

[windows内核]2-9-9-12分页

回顾之前我们解了10-10-12分页方式,在这种分页方式下物理地址最多可达4GB。但随着硬件的发展,4GB的物理地址范围已经无法满足要求Intel在1996年就已经意识到这个问题了,所以设计了新的分页方式,也就是我们这次要说的2-9-9-12分页,又称为PAE(物理地址扩展)分页。具体细节可以再手册第3卷中的4.4PAEPAGING查看10-10-12分页原理Intel认为一张页的大小为4K是比较
QQQqQqqqqrrrr·2020-08-20 07:21

[windows内核]10-10-12分页

基本概念4GB内存空间我们都了解过每个进程都有独立的4GB空间4GB的虚拟内存结构:虚拟内存地址范围描述0x00000000~0x0000FFFF64kb大小的空指针区域,当然就不可以访问了0x00001000~0x7FFFFFFF加上上述的空指针区域,低2GB的用户态空间0x80000000~0xFFFFFFFF高2GB的内核态空间但这个4GB空间并不是完全都使用或者真实存在的。实际上,进程被分
QQQqQqqqqrrrr·2020-08-20 07:21

防止文件被删除

SSDT使用hook,监控内核文件函数调用即可。就是hookNtCreateFile,NtReadFile,NtWriteFile,NtQueryInformation
sondx·2020-08-19 20:19

小心环境变量-浅谈LD_PRELOAD

//weibo:@少仲0x0前言在Windows平台,各种Hook技术已经被玩的天花乱坠.软件为了优先获得系统的控制权,都使用了各种Hook技术.常见的SSDTHook/InlineHook/IRPHook
少仲_·2020-08-19 18:56

漫谈兼容内核之十七:再谈Windows的进程创建

不幸,Windows内核的代码是不公开的,我们无法通过Windows内核的代码来确切地了解和理解它的方
zytju1983·2020-08-19 06:02

集合之间的转换 List集合转为Map(指定泛型)

先定义一个对象,对象中有省,市,地区,状态,数量五个字段>publicclassDTO{>privateStringprovinceName;>privateStringCityName;>privateStringcodeName
JDI、jxj·2020-08-19 02:39

Metasploit 渗透测试手册第三版 第三章 服务端漏洞利用(翻译)

第三章服务端漏洞利用在本章中,我们将学习以下内容1、攻击Linux服务器2、SQL注入攻击3、shell类型4、攻击Windows服务器5、利用公用服务6、MS17-010永恒之蓝SMB远程代码执行Windows
weixin_34189116·2020-08-18 23:48

详述欺骗性断言如何引发严重的 Windows 内核漏洞 (CVE-2020-0792)

编译:奇安信代码卫士团队2019年11月,微软发布软件更新,其中对Windows内核驱动win32kfull.sys的一个小的代码修改引发了一个严重漏洞。该代码修改本应不产生任何危害。
奇安信代码卫士·2020-08-18 22:52

也谈SSDT Hook(一)

一、原理篇1.关于系统服务。系统服务是由操作系统提供一组函数,使得开发者能够通过APIs直接或间接的调用。一个API可以对应一个系统服务,也可以一个API依赖多个系统服务。比如,WriteFileAPI对应的系统服务是ntoskrnl.exe中的NtWriteFile。系统服务分发属于陷阱分发的范畴,更详细的资料可参考’WindowsInternal(4thedition)’相关章节。从APIs到
int2e·2020-08-18 15:49

也谈SSDT Hook(二)

一、实战篇本不想摘代码,既然实战,就不多讲废话了,还是贴上吧,谁都有违背原则的时候:)。代码一:经典案例,替换NtQuerySystemInformation,列取所有查询到的进程名,我使用修改CR0寄存器的方法。#includetypedefstruct_SYSTEM_THREADS{LARGE_INTEGERKernelTime;LARGE_INTEGERUserTime;LARGE_INTE
int2e·2020-08-18 15:17

shadow ssdt学习笔记

取得shadowssdt真实地址系统只提供了KeServiceDescriptorTable导出KeServiceDescriptorTableShadow是个未导出结构定义Copycodetypedefstruct_SYSTEM_SERVICE_TABLE
int2e·2020-08-18 15:17
上一页 2 3 4 5 6 7 8 9 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他