Windows内核逆向【目录】
摘要:基础 汇编 C语言 C++ Win32 PE 硬编码 内核 保护模式 驱动 系统调用 进程线程 句柄表 APC 回调 DPC 同步 内存 X64 12 13 14 驱动读写 获取模块 win7通信 win10通信 驱动安装 读内存 读内存测试 写内存 内存查询 保护进程 远程call 驱动隐藏 VT
阅读全文
posted @ 2022-09-19 23:44
随笔分类 - Win逆向中级
七、回调
摘要:7.1.进程回调 DriverMain.c #include <ntifs.h> PUCHAR PsGetProcessImageFileName(PEPROCESS Process); //创建进程回调函数 VOID CreateProcessListen( _In_ HANDLE ParentI
阅读全文
posted @ 2022-09-18 23:35
六、APC
摘要:6.1.APC初始化 dt _KTHREAD与APC相关的项 +0x03a Alerted : [2] UChar //可警惕。只有允许被唤醒的情况下,警惕才有意义 +0x03c Alertable : Pos 5, 1 Bit //是否可以被唤醒 +0x040 ApcState : _KAPC_S
阅读全文
posted @ 2022-09-18 23:34
五、句柄表
摘要:5.1.全局句柄 1.全局句柄表中只存储进程和线程对象,把PID/CID当作索引在全局句柄表中查找对应对象结构. 2全局句柄表有三张表: 0表:共4096字节,每个元素占8个字节,总共可以存512个元素,每个元素指向的就是object本身 1表:共4096字节,每个元素(占4字节)存的是表的索引,可
阅读全文
posted @ 2022-09-18 22:44
四、进程线程
摘要:4.1.WRK 1.Project-->New Project-->选择wrk目录-->ok 2.Add and Remove Project Files >选中四个文件-->Add Tree 3.搜索 4.2.KPCR kpcr:cpu核控制块,cpu一个核一个kpcr结构 fs=0x30 在内核
阅读全文
posted @ 2022-09-18 22:40
三、系统调用
摘要:三、系统调用 3.1.系统调用 OpenProcess和ReadProcessMemory从3环进0环的过程 kernel32.OpenProcess KernelBase.OpenProcess Ntdll.NtOpenProcess 7FFE0300(获取KiFastCallEntry) sys
阅读全文
posted @ 2022-08-10 01:24
二、驱动
摘要:二、驱动 2.1.hello world 1.创建项目 2.删除Driver Files里面的helloworld.inf文件 3.右键属性 Inf2Cat->General->Run Inf2Cat 改成否 Driver Settings->General->Traget OS VERSION和T
阅读全文
posted @ 2022-08-10 01:22
一、保护模式
摘要:一、保护模式 1.1.双机调试 1.添加debug调试模式 2.虚拟机设置 \\.\pipe\com1 3.windbg -y SRV*D:\mysymbol*http://msdl.microsoft.com/download/symbols -b -k com:port=\\.\pipe\com
阅读全文
posted @ 2022-08-10 01:08
