摘要:
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html 系统调用 1. ntdll中zw、nt函数与ntoskr中zw、nt函数的区别。 我们之前很容易混淆这四个,简单说一下, 1)首先ntdll中很简单,其永远是nt-> 阅读全文
摘要:
驱动内核函数汇总 文件头 1. ntimage.h 内核有关结构体 关于内存的函数 1. ProbeForRead(),ProbeForWrite() 探测是否可读或可写 关于I/O通信的函数 1. IoCreateDevice 创建设备 2. IoDeleteDevice 删除设备 3. IoCr 阅读全文
摘要:
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html 驱动对象(驱动隐藏技术) 1._DRIVER_OBJECT结构体 2. xx.sys中的INIT节区 3. DriverObject.DriverSection节区 阅读全文
摘要:
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html 控制寄存器 1.控制寄存器在Intel手册的位置 2.各个寄存器的作用 3. 各个位的大体作用 1.控制寄存器在Intel手册的位置 卷三 2.5 Control R 阅读全文
摘要:
C\C++反汇编中几个比较重要的知识点 1.C++的虚函数表 2. 两个虚函数类实例对象是否共用一份虚函数表 3. 构造函数是否可以加虚,析构函数是否可以加虚 4. C++中的引用 5. C中针对switch的优化 1. 64位函数的调用约定 从右往左顺序入栈,前四个存放于寄存器(从左往右),RCX 阅读全文
摘要:
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html 驱动中常见的字符串操作 驱动中的字符串初始化有三种常见的方法: 1. RTL_UNICODE_STRING: UNICODE_STRING us = RTL_CONS 阅读全文
摘要:
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html 使用驱动来编写调用门 测试代码: #include "stdafx.h" #include <stdlib.h> __declspec(naked) void cal 阅读全文
摘要:
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html 常用汇编指令集合 1. gdtr 2. bt/btr/bts 3. cli/sti 1.gdtr 读取gdt表地址 其需要六个字节,但是前两个字节并没有用处。 汇编代 阅读全文
摘要:
远线程注入代码 1 #include <windows.h> 2 #include <iostream> 3 using namespace std; 4 5 DWORD threadInject(WCHAR* dllpath, DWORD pid) 6 { 7 int t = sizeof(dll 阅读全文
摘要:
一段构造SEH异常来调用恶意代码的片段分析 众所周知,FS三环下指向TEB,TEB+0x0处为_NT_TIB,其详细结构如下: nt!_TEB +0x000 NtTib : _NT_TIB +0x01c EnvironmentPointer : Ptr32 Void +0x020 ClientId 阅读全文