2018年12月26日
【旧文章搬运】调试没有符号的驱动时如何断在入口点处
摘要: 原文发表于百度空间,2009-04-17 关于调试没有符号的驱动时如何断在入口点处这个问题,先说一个我听来的很挫的方法:用C32ASM修改DriverEntry处为0xCC,就是int 3,修正校验和后加载,执行到DriverEntry时产生int 3异常自然就会中断在调试器了,这时再把原来的指令改 阅读全文
posted @ 2018-12-26 20:31 黑月教主 阅读(283) 评论(0) 推荐(0) 编辑
【旧文章搬运】Windows句柄分配算法(二)
摘要: 原文发表于百度空间,2009-04-04 在创建句柄时,操作过程并不受StrictFIFO标志的影响.而在销毁句柄时,StrictFIFO标志则决定了如何放置刚释放的这个FreeHandle.对于普通进程的句柄表而言,StrictFIFO为0,那么销毁该句柄时,Free指针所指向的队列头是Handl 阅读全文
posted @ 2018-12-26 20:28 黑月教主 阅读(308) 评论(0) 推荐(0) 编辑
【旧文章搬运】Windows句柄分配算法(一)
摘要: 原文发表于百度空间,2009-04-04 分析了Windows句柄表的分配算法之后,综合WRK1.2中的代码以及Window XP下的实践,继续分析句柄的分配算法~~为了便于描述,先定义几个概念:FreeHandle即尚未被使用的Handle,FreeHandleList是由FreeHandle依靠 阅读全文
posted @ 2018-12-26 20:26 黑月教主 阅读(610) 评论(0) 推荐(0) 编辑
【旧文章搬运】Windows句柄表分配算法分析(实验部分)
摘要: 原文发表于百度空间,2009-03-31 理论结合实践,这是我一贯的学习方法~~实验目的:以实验的方式观察PspCidTable的变化,从中了解Windows句柄表的分配过程.实验器材:Windbg,RunIt(一个可控的不断创建线程的程序),DebugView知识回顾: 如图所示,句柄表的结构根据 阅读全文
posted @ 2018-12-26 20:22 黑月教主 阅读(277) 评论(0) 推荐(0) 编辑
【旧文章搬运】Windows句柄表分配算法分析(三)
摘要: 原文发表于百度空间,2009-03-30 三、当需要申请一个新的二级表(MidLevelTable)时,调用ExpAllocateMidLevelTable函数 五、句柄表的释放比较简单,遍历并释放每个一级表所占内存就可以了~ 阅读全文
posted @ 2018-12-26 19:51 黑月教主 阅读(146) 评论(0) 推荐(0) 编辑
【旧文章搬运】Windows句柄表分配算法分析(二)
摘要: 原文发表于百度空间,2009-03-30 四.句柄表的扩容:已分配的句柄表被用完时,ExpAllocateHandleTableEntrySlow被调用以分配一个新的句柄表,实现对句柄表的扩容.每次增加粒度都是一个一级表的大小(大小为PAGE_SIZE,句柄容量为PAGE_SIZE/sizeof(H 阅读全文
posted @ 2018-12-26 19:49 黑月教主 阅读(223) 评论(0) 推荐(0) 编辑
【旧文章搬运】Windows句柄表分配算法分析(一)
摘要: 原文发表于百度空间,2009-03-30 阅读提示:由于继续使用了chichou同学的CodeHighlighter来修饰代码,造成文章字数过多,故分成三篇,且后两篇内容的顺序稍有调整,阅读时请根据大标题的顺序来~ 前置知识:Windows句柄表的基本结构本文以WRK1.2的代码为参考,主要分析Wi 阅读全文
posted @ 2018-12-26 19:47 黑月教主 阅读(372) 评论(0) 推荐(0) 编辑
【旧文章搬运】PspCidTable攻与防
摘要: 原文发表于百度空间,2009-03-29 PspCidTable的攻与防,其实就是进程隐藏与检测所涉及到的一部分工作~~不管基于PspCidTable的进线程检测,还是抹PspCidTable进行进程对象的隐藏,都涉及到对PspCidTable的遍历.所以如何安全正确地遍历PspCidTable才是 阅读全文
posted @ 2018-12-26 19:45 黑月教主 阅读(844) 评论(0) 推荐(0) 编辑
【旧文章搬运】PspCidTable概述
摘要: 原文发表于百度空间,2009-03-28 PspCidTable也是一个句柄表,其格式与普通的句柄表是完全一样的.但它与每个进程私有的句柄表有以下不同:1.PspCidTable中存放的对象是系统中所有的进线程对象,其索引就是PID和TID2.PspCidTable中存放的直接是对象体(EPROCE 阅读全文
posted @ 2018-12-26 19:41 黑月教主 阅读(656) 评论(0) 推荐(0) 编辑
【旧文章搬运】Windows句柄表格式
摘要: 原文发表于百度空间,2009-02-28 句柄是Windows对象管理中引入的一个东西,它的实际意义是对象在句柄表中的索引。Windows2000使用的是固定的三层句柄表,而WindowsXP和Windows2003都是使用的动态可扩展的三层句柄表,这是一种很优秀的结构,易扩展,且查找迅速,值得学习 阅读全文
posted @ 2018-12-26 19:37 黑月教主 阅读(407) 评论(0) 推荐(0) 编辑
【旧文章搬运】更正一个枚举PspCidTable时的错误
摘要: 原文发表于百度空间及看雪论坛,2009-02-27 看雪论坛地址:https://bbs.pediy.com/thread-82919.htm PspCidTable现在已经很科普了,关于其具体格式及如何枚举,网上相关文章一大堆,最多的两篇是gz1x和sudami写的。我这里只谈一个问题,就是枚举P 阅读全文
posted @ 2018-12-26 19:31 黑月教主 阅读(447) 评论(0) 推荐(0) 编辑
【旧文章搬运】摘除过滤驱动
摘要: 原文发表于百度空间,2009-02-03 开始本文之前先膜拜一下老V~“无法F5的驱动,不是好驱动啊~不是好驱动啊~ ” killvxk语录这两天下午的时间,破解那个驱动保护搞得好痛苦,每次关机都要蓝一次,有时候设备还不工作,郁闷...而且VMware用得很伤心,每次开GuestOS都得6分钟左右, 阅读全文
posted @ 2018-12-26 19:25 黑月教主 阅读(568) 评论(0) 推荐(0) 编辑
【旧文章搬运】Windbg+Vmware驱动调试入门(四)---VirtualKD内核调试加速工具
摘要: 原文发表于百度空间,2009-01-09 今天又想起来VirtualKD这个东西,试用了一下,真是爽坏了,可能我火星了~~ 很久以前就知道小喂有个VmKd工具,使用Vmware的后门指令直接拷贝数据来代替模拟串口,能大大提高调试时的数据传输速度。不过那个对VMware版本的依赖性太强,我的Vmwar 阅读全文
posted @ 2018-12-26 19:20 黑月教主 阅读(747) 评论(0) 推荐(0) 编辑
【旧文章搬运】Windbg+Vmware驱动调试入门(三)---Windbg基本调试入门
摘要: 原文发表于百度空间,2009-01-09 这一节的内容是Windbg入门,用一些基本的命令告诉你如何使用Windbg~~仅作入门,更详细的可以参考Raymond老师的《软件调试》的第30章 "WinDbg用法详解"和Windbg自带的帮助文件 我使用调试器的经验完全来自于Ring3的Ollydbg, 阅读全文
posted @ 2018-12-26 19:13 黑月教主 阅读(250) 评论(0) 推荐(0) 编辑
【旧文章搬运】Windbg+Vmware驱动调试入门(二)---Vmware及GuestOS的设置
摘要: 原文发表于百度空间,2009-01-08 这一篇是主要是关于Vmware部分的设置,其实参考JIURL那篇很经典的《借助VMware实现单机使用WinDbg》就可以了.不过那篇文章里面有个小错误(不知道是原作者不小心,还是别人转载的时候错了),后面的波特率应为115200而非11520我就再来写一下 阅读全文
posted @ 2018-12-26 19:10 黑月教主 阅读(373) 评论(0) 推荐(0) 编辑