导航

2013年12月12日

Windows Internals 6th chap5 Flow of CreateProcess

摘要: Page 369 创建一个Windows进程需要三个部分之间的交互: Kernel32.dll,执行体,和Windows子系统进程csrss.exe。主要流程: 阅读全文

posted @ 2013-12-12 18:12 littledot 阅读(205) 评论(0) 推荐(0) 编辑

Windows Internals 6th chap5

摘要: Page 359 进程数据结构:EPROCESS 执行体对象,处于内核地址空间,无名字,Winobj看不到。PEB,用户地址空间,包含用户态代码需要访问的信息。CSR_PROCESS: 只有Win32程序才有,由该session的csrss.exe维护。W32PROCESS: win32k相关的per-process结构,第一次调用USER/GDI时创建。EPROCESS:PEB:CSR_PROCESSW32PROCESS:Page 368 windows的安全模型允许有debug previlege的用户以任意方式操作其它进程(读写进程memory,注入代码,suspend/resume线程 阅读全文

posted @ 2013-12-12 13:59 littledot 阅读(167) 评论(0) 推荐(0) 编辑

2013年12月10日

Digital signature

摘要: Executables (PE files) can have a digital signature, Microsoft calls this signature AuthentiCode. There are 2 different ways to sign a PE file: by adding a digital signature to the PE file (embedded digital signature) or by adding a hash of the PE file to a security catalog file (filetype .CAT).The 阅读全文

posted @ 2013-12-10 23:35 littledot 阅读(651) 评论(0) 推荐(0) 编辑

Authenticode digital signatures

摘要: http://msdn.microsoft.com/en-us/library/windows/hardware/ff686697%28v=vs.85%29.aspx 阅读全文

posted @ 2013-12-10 23:22 littledot 阅读(69) 评论(0) 推荐(0) 编辑

How to verify a file's signature

摘要: http://msdn.microsoft.com/en-us/library/aa382384.aspx//-------------------------------------------------------------------// Copyright (C) Microsoft. All rights reserved.// Example of verifying the embedded signature of a PE file by using // the WinVerifyTrust function.#define _UNICODE 1#define UNI. 阅读全文

posted @ 2013-12-10 23:15 littledot 阅读(623) 评论(0) 推荐(0) 编辑

2013年12月8日

Windows Internals 6th chap4

摘要: Page 277 注册表是Windows操作系统配置信息的仓库,e.g. 系统信息,应用程序信息,用户个人信息Page 279 key directory value file data datavalue当前共有14种类型. 注意REG_LINK.Page 280 注册表的逻辑结构,6个root key.Page 287 TxR 阅读全文

posted @ 2013-12-08 15:06 littledot 阅读(96) 评论(0) 推荐(0) 编辑

2013年12月6日

Windows Internals 6th chap3 cont.

摘要: Page 140 Object manager 1)提供了统一的使用系统资源的机制 2)提供一个集中的位置去保护对象 3)提供一种去管理进程配额的机制 4)提供对象命名的机制 5)对象隔离 6)对象持久化Page 143 Win7执行体共定义了42种对象,大部分只供执行体使用,其中一部分通过windows API暴露给用户程序使用。Page 145 每个对象都有对象头和对象体.对象头由object manager控制,对象体由创建改对象体的执行体组件拥有并控制.每个对象头都指向该对象的type object. Object manager利用对象头中的数据来管理对象.有5个可选的子对象头: n 阅读全文

posted @ 2013-12-06 23:27 littledot 阅读(251) 评论(0) 推荐(0) 编辑

2013年12月3日

Windows Internals 6th chap3

摘要: Page 79 在windows上,trap指当中断或者异常发生时,处理器打断线程的正常执行而跳往预定义好的位置(trap handler, IDT)去执行的机制。Page 80 中断和异常的区别:中断是异步事件,可能在任意时间发生,和当前处理器正在执行什么无关,通常由外设产生;异常时同步事件,通常由执行某条cpu指令而产生,可重复,比如内存访问违例,调试器异常,系统调用等。Page 81 由于中断或异常当断了当前线程的正常执行,所以必须保存当前线程的状态,以便中断或者异常处理完毕之后继续执行。 当前线程状态保存于当前线程的内核栈上,被称为trap frame。Page 81 软件和硬件均可产 阅读全文

posted @ 2013-12-03 14:08 littledot 阅读(320) 评论(0) 推荐(0) 编辑

2013年12月1日

Windows Internals 6th chap2

摘要: Page 33 扩展性 -- wdm支持过去,现在,将来的设备移植性 -- 支持各种架构,x86/x64/arm。 HAL可靠性,鲁棒性 -- 安全设施兼容性 -- 历史包袱性能 -- ETW。xperf!Page 34 用户程序和操作系统运行于不同的特权级别。操作系统和驱动的代码均处于kernelmode,可以访问任意资源, mitigation: patch guard & kmcsPage 37 Windows可以运行于x86/x64/arm/mips/alpha axp/powerpcPage 38 可移植的主要原因有二:1)层次化设计,处理器架构和平台相关部分被封装与某些独立 阅读全文

posted @ 2013-12-01 11:19 littledot 阅读(153) 评论(0) 推荐(0) 编辑

Generating memory dump using LivdKd

摘要: http://blogs.technet.com/b/carlh/archive/2009/11/30/online-kernel-memory-dump-using-livekd-exe.aspxHow many times have you had to acquire a kernel memory dump, but you or your customer (quite rightly) refuses to have the target system attached to the internet (which usually needed to download the sy 阅读全文

posted @ 2013-12-01 01:08 littledot 阅读(212) 评论(0) 推荐(0) 编辑