HsinTsao

摘要： 阅读《IDA Pro权威指南》第八章，整理的一些笔记，作为逆向的基础，可能有很多认识不足。 //全局分配数组 ********************************************************************** 源程序： 逆向分析： //栈分配数组 ***** 阅读全文

摘要： 在《Windows核心编程》第七章说到了线程优先级等知识，其中谈到了ThreadContext线程上下背景文。 其中介绍了GetThreadContext函数来查看线程内核对象的内部，并获取当前CPU寄存器状态的集合。 若要调用该函数，只需指定一个CONTEXT结构，对某些标志（该结构的Contex 阅读全文

摘要： APC，即Asynchronous procedure call，异步程序调用APC注入的原理是：在一个进程中，当一个执行到SleepEx()或者WaitForSingleObjectEx()时，系统就会产生一个软中断，当线程再次被唤醒时，此线程会首先执行APC队列中的被注册的函数，利用QueueU 阅读全文

摘要： 基于上一篇文章，大概了解了peb的获取方法，但是那个方法只能获得当前进程的PEB，不能获得其他的进程的PEB。根据那个思想，获得其他进程PEB则需要注入，得到进程信息，然后进程间通信，将信息返回来，经过考虑，这个方法太复杂。 下面介绍的方法是 用了一个未公开的函数NtQueryInformation 阅读全文

摘要： PEB ：进程环境块TEB.ProcessEnvironmentBlock成员就是PEB的结构体地址TEB结构体位于FS段选择符所指的段内存的起始地址处，且ProcessEnvironmentBlock成员位于距TEB结构体Offset 30的位置即有两种方法获得PEB的地址 peb的结构申明： 获 阅读全文

摘要： int 3 指令是常见的 断点中断，研究这个的时候发现个系统的一些机制有关。就研究了一下中断的分类，还有异常和陷阱。下面是我百度之后的一些总结： 中断的分类：外中断和内中断 根据系统对中断处理的需要，操作系统一般对中断进行分类并对不同的中断赋予不同的处理优先级，以便在不同的中断同时发生时，按轻重缓急 阅读全文