摘要：Windows网络驱动、NDIS驱动(微端口驱动、中间层驱动、协议驱动)、TDI驱动(网络传输层过滤)、WFP(Windows Filtering Platform) 阅读全文

摘要：DRUPAL-PSA-CORE-2014-005 && CVE-2014-3704 Drupal 7.31 SQL Injection Vulnerability /includes/database/database.inc Analysis 阅读全文

摘要：目录1. 相关阅读材料2. 《加密与解密3》3. [经典文章翻译]A_Crash_Course_on_the_Depths_of_Win32_Structured_Exception_Handling.pdf4. 《0 DAY安全: 软件漏洞分析技术》 2. 数据结构分析二. KTHREADKTHR... 阅读全文

摘要：继续学习windows 中和线程有关系的数据结构: ETHREAD、KTHREAD、TEB1. 相关阅读材料《windows 内核原理与实现》 --- 潘爱民2. 数据结构分析我们知道，windows内核中的执行体层负责各种与管理和策略相关的功能，而内核层(微内核)实现了操作系统的核心机制。进程和线程在这两层上都有对应的数据结构。我们先从执行体层的ETHREAD开始。一. ETHREADETHREAD(执行体线程块)是执行体层上的线程对象的数据结构。在windows内核中，每个进程的每一个线程都对应着一个ETHREAD数据结构。接下来，我们以windows XP下的notepad.exe为实验 阅读全文

摘要：继续上一篇(2)未完成的研究，我们接下来学习 KPROCESS这个数据结构。1. 相关阅读材料《深入理解计算机系统(原书第2版)》二. KPROCESSKPROCESS，也叫内核进程块。我们在开始学习它的数据机构之前，首先要思考的一个问题是，它和EPROCESS名字感觉差不多，那它们之间是什么关系呢？它们在内核区域中都位于那一层呢？我们先来看一张图：windows内核中的执行体负责各种与管理和策略相关的的功能(在学习笔记(2)有相关的介绍)。而内核层(或微内核)实现了操作系统的"核心机制"。进程和线程在这"两"层上都有对应的数据结构。甚至EPROCESS 阅读全文

摘要：在学习笔记(1)中，我们学习了IRP的数据结构的相关知识，接下来我们继续来学习内核中很重要的另一批数据结构: EPROCESS/KPROCESS/PEB。把它们放到一起是因为这三个数据结构及其外延和windows中进程的表示关系密切，我们在做进程隐藏和进程枚举的时候一定会涉及到这3类数据结构，所以这里有必要及时做一下总结，做个学习笔记，理清思路。1. 相关阅读材料《windows 内核原理与实现》 --- 潘爱民《深入解析windows操作系统(第4版,中文版)》 --- 潘爱民《Windows核心编程(第四版)》中文版首先我们来看一张windows的内核分布图，我们之后要讲的执行体和内核层都 阅读全文

摘要：在学习内核过滤驱动的过程中，遇到了大量的涉及IRP操作的代码，这里有必要对IRP的数据结构和与之相关的API函数做一下笔记。1. 相关阅读资料《深入解析 windows 操作系统(第4版,中文版)》 --- 9章《windows driver kit 帮助文档》http://support.microsoft.com/kb/115758/zh-cn IRP 结构中各地址字段的含义http://www.programlife.net/io_stack_location-irp.html 代码疯子对IRP的研究2. IRP的数据结构IRP是一个数据结构，其中包含了用来描述一个IO请求的完整信息。I 阅读全文

摘要：自从大一读那本超厚的C程序设计以后，从来没有像这样慢慢地读一本书了。windows核心这本书足足看了2个多星期。一张张慢慢看，做笔记。感觉学到了很多基础的知识，关于内核方面的没有啥可以做实验的，都在看书。暂时先搁一下，等ISCC比赛完了一定要往内核方向驱动编程那块深入一点，做个实验，好好的总结一下。眼前先把ISCC的比赛准备一下要紧，WEB渗透方向的都没怎么弄过。从现在开始到比赛前就专心弄WEB渗透了。 阅读全文