摘要： 使用Vmware虚拟机，Vmware Tools工具的复制粘贴一直无效，之后采用共享文件夹。 其默认的是在 \mnt\hgfs 下，在Vmware的设置中建立好文件夹，将文件传入进去，之后就可以去 \mnt\hgfs 下找。 阅读全文

摘要： Windows内核分析索引目录：https://www.cnblogs.com/onetrainee/p/11675224.html 技术学习来源：火哥(QQ:471194425) 该方法的一些原理暂时还不太了解，整理之后一定会补充的。 SEH hook 的一种方法 一、当函数中有try语句时编译器 阅读全文

摘要： 1. 什么是增量链接？ 答：采用Debug模式下，函数地址并不是该函数的开始部分，而是跳转到一个 jmp 函数地址。 比如，一个函数 test()，其地址 test 对应的汇编语句是 "jmp test真正的地址" 2. 为什么要关闭增量链接？ 答：我们常常需要hook某个函数，此时如果存在增量链接 阅读全文

摘要： Windows内核分析索引目录：https://www.cnblogs.com/onetrainee/p/11675224.html 初识VEH链（用户异常派发的进一步探究） VEH链是进程处理异常的一个非常重要的机制。 前面我们分析到用户异常进入内核之后会再次返回到R3层调用KeException 阅读全文

摘要： 直接选中最上边的结构体，使用ALT+Q来进行修改。 阅读全文

摘要： Windows内核分析索引目录：https://www.cnblogs.com/onetrainee/p/11675224.html 用户异常与模拟异常的派发 一、KiDispatchException函数处理流程图 无论用户模拟异常还是CPU异常，经过前面分析，在经过记录之后，最终都会经过KiDi 阅读全文

摘要： 按 k 键 [ebp+var+arg_0] - > [ebp+value] 阅读全文

摘要： [ebp+0] - 保存旧的ebp的值 [ebp+4] - 保存该函数的返回地址 [ebp+8] - 保存第一个参数 在IDA如果涉及到内核函数，可以先查出WRK，然后分别将参数赋值，这样再分析起来就很好看了。 阅读全文

摘要： Windows内核分析索引目录：https://www.cnblogs.com/onetrainee/p/11675224.html 用户模拟异常的记录 这部分代码量太大，就先记录了一个基本的处理流程，如果有需要，之后会进行补充。 以 throw 1 之后的处理为例。 阅读全文

摘要： 我们理解call原理，首先将返回地址压入栈中，之后执行调用。 因此，在一个函数开始部分，esp依旧是上一个栈帧的esp，此时esp指向返回地址。 这就意味着使用 mov ebx,esp，之后 [ebx]就是当前函数的返回地址。 我们应该意识到，SystemCall 就是通过这个 进入零环的，进入零环 阅读全文