摘要:
书中作者使用 dt _PEB xxxxxx 命令来查看当前进程的PEB结构。实际操作后PEB结构显示的成员值:作为进程链表的LDR结构居然没有值,这显然是不正常的,地址也没有输错,问题到底出在哪里呢?书中提到PEB位于用户态空间,可能有多个进程共享同一个PEB,所以在查看之前须使用 .process... 阅读全文
摘要:
依书上的例子,ReadFile()函数会调用ntdll!NtReadFile(),后者将服务号放到eax之中,然后调用SharedUserData!SystemCallStub(),由此函数执行sysenter指令来切入内核。但是实际操作查看反汇编却是这个样子:指令完全是错乱的,猜测此处应该是不是指... 阅读全文