摘要:
x86-6-特权级-3-陷阱门(32-Bit Trap Gate) 陷阱门和中断门几乎是一模一样的: (注:图里高32位中的第11位的值为D,其实是1) 除了高32位中的type字段的内容不一样: 陷阱门的值为15,中断门的值为14。 陷阱门和中断门的区别: 陷阱门和中断门只有一个唯一的区别,其它的 阅读全文
2021年11月11日
2021年11月5日
摘要:
x86-6-特权级-2-中断门(32-Bit Interrupt Gate) 中断门和调用门类似,也是一种系统段。同样的它也可以用来提权。 中断门: 虽然中断门的段描述符如下: 但是中断门其实也就是段描述的一种。只不过有稍微区别,并且和调用门的段描述符类型非常相似。 中断门和调用门的区别: 这里将调 阅读全文
2021年11月2日
摘要:
x86-6-特权级-1-调用门(32-Bit Call Gate) 调用门有一个关键的作用,就是用来提权。调用门其实就是一个段。 调用门: 这是段描述符的结构体,里面的s字段用来标记是代码段还是数据段还是系统段,前面解析的时候讲的是 S==1的情况,也就是Code or data的情况,这次的调用门 阅读全文
2021年10月26日
摘要:
反调试——11——检测TF标志寄存器 在intel的x86寄存器中有一种叫标志寄存器: 标志寄存器中的TF(Trap Flag)位,CPU在执行完一条指令后,如果检测到标志寄存器的TF位为1,则会产生一个int 1中断,然后再将TF置为0,后进行int 1中断后继续执行。操作系统上可以视为异常。 再 阅读全文
2021年10月25日
摘要:
反调试——10——检测进程和窗口 检测一些常见的调试器的进程以及窗口是否存在也可以作为一种反调试的手段。 这个比较简单就直接上代码了: #include<Windows.h>#include<iostream>#include<tlhelp32.h>using namespace std;void 阅读全文
2021年10月22日
摘要:
Windows内核开发-10-监听对象 Windows内核除了可以监听进程,线程、dll还可以监听特定的对象和注册表。这里先讲一下监听对象。 监听对象 内核提供了一种可以监听对特定的对象类型的句柄进行打开或复制的机制。正式支持的对象类型有进程和线程,Windows10还支持一个桌面对象(桌面对象这个 阅读全文
2021年10月19日
摘要:
Windows内核开发-9-32位和64位的区别 32位的应用程序可以完美再64位的电脑上运行,而32位的内核驱动无法再64位的电脑上运行,或者64位的驱动无法在32位的应用程序上运行。这是为什么呢。 原因是在x64的Windows操作系统上,模拟了x86操作系统的操作,并且引入了一个WOW64子系 阅读全文
2021年10月15日
摘要:
这个博客没啥大用,就感觉对Windows内核开发的概念就记在这里了,应该会长期更新。 驱动类型: 驱动可以分为很多类型,常见的有NT,WDM,WDF驱动,其中NT是最简单的。 WDM是NT上引入的一套驱动模型,支持一些额外的东西。WDF是对WDM的封装和升级简化了驱动。驱动大同小异,NT驱动是驱动中 阅读全文
2021年10月11日
摘要:
反调试——9——调试器原理 调试一个程序分两种情况: 1 打开这个程序。 2:这个程序已经是一个运行状态了,将其进程进行附加。 打开进程 通过打开运行进程方式来调试进程需要调用一个API: BOOL CreateProcessA( LPCSTR lpApplicationName, LPSTR lp 阅读全文
摘要:
反调试——8——虚拟机检测 其实虚拟机检测也无外乎就是检测一些虚拟机特有的特征,然后来判断是否是在虚拟机里面,比如说这里(查看系统中运行的服务): 但是不能直接盲目的通过VMware这六个关键字母就判断是在虚拟机里面了,因为你的电脑如果开了虚拟机,也会有一些VMware开头的虚拟机服务: 所以我们必 阅读全文