2012年1月26日
关于进程创建时在驱动下获取命令行参数的问题
摘要: 晚上在试图解决某个问题的时候,尝试在PROCESS CALLBACK下获取命令行参数,但是在WINDBG下调试的时候1、先切换到目标进程kd> .process /p 0x825da8d8 Implicit process is now 825da8d82、再输出PEB结构体信息kd> dt _pe... 阅读全文
posted @ 2012-01-26 21:59 robinh00d 阅读(1195) 评论(0) 推荐(0) 编辑
windbg查看当前IRQL
摘要: 这是个老生常谈的问题,对于XP没有什么好办法,对于Server 2003开始的系统,可以使用!irql 命令: kd> !irql 1 Debugger saved IRQL for processor 0x1 -- 0 (LOW_LEVEL) 有一个名为 KiOldIrql 的全局变量,在 K... 阅读全文
posted @ 2012-01-26 21:56 robinh00d 阅读(2185) 评论(0) 推荐(0) 编辑
原子操作
摘要: /* According to the Intel documentation the following operations are atomic on the Intel Architecture processors: - Reading or writing a byte. - Read... 阅读全文
posted @ 2012-01-26 21:52 robinh00d 阅读(214) 评论(0) 推荐(0) 编辑
NDIS HOOK及MINIPORT HOOK的实现
摘要: [0x00] 网上有很多讨论关于NDIS HOOK的文章,但大多只讲了WIN7之前的HOOK NDIS_OPEN_BLOCK下的例程,至于WIN7下怎么HOOK以及如何做MINIPORT-HOOK,网络上则鲜有提及.根据前阵子的相关分析,我把NDIS HOOK总结一下,网上有一些讨论NDIS HOO... 阅读全文
posted @ 2012-01-26 21:51 robinh00d 阅读(2358) 评论(1) 推荐(0) 编辑
2010年3月17日
IDA 创建段
摘要: 快捷键:SHIFT + F7 呼出创建段 把一个立即数当作某段的偏移: ALT+R(选择段) CTRL+O(当前段) O 切换偏移和立即数 CTRL+R暂时还没研究 T 按指定结构体偏移 创建一个段(我们这里只说说明X86环境,以下示例转载自IDA PRO手册): Create segment - ... 阅读全文
posted @ 2010-03-17 17:08 robinh00d 阅读(1000) 评论(0) 推荐(0) 编辑
2010年3月6日
复习句柄表(笔记)
摘要: 今天复习了下2K和XP/2003下的句柄表结构,深入理解了X86下的分页机制后,再回顾这些东西就觉得非常简单了 2K: 2K下采用三层表结构,上层表256个项,每个项占用4字节 对应一个中层表的地址,每个中层表有256项,每个项占用4字节对应一个下层表地址,每个下层表256项,每个项占用8字节(每个... 阅读全文
posted @ 2010-03-06 18:58 robinh00d 阅读(676) 评论(0) 推荐(0) 编辑
2010年3月1日
用Bochs GUI Debugger调试保护模式程序
摘要: 把Bochs目录下以前的调试器bochsdbg.exe改名为其他名称,然后把bochs-guidebugger.exe拷贝到Bochs目录下并改名为bochsdbg.exe,然后在配置文件里加入如下: display_library: win32, options="windebug" 然后直接以调... 阅读全文
posted @ 2010-03-01 14:57 robinh00d 阅读(2258) 评论(2) 推荐(0) 编辑
实践GDT和LDT
摘要: %include "pm.inc" ; 实践LDT ORG 0100h JMP REALMODE_START ; ######################################################################## ; Define GDT [SECTI... 阅读全文
posted @ 2010-03-01 00:42 robinh00d 阅读(582) 评论(0) 推荐(0) 编辑
关于BOCHS调试保护模式程序的思路
摘要: 在DOS下调试保护模式程序不能用DEBUG或者TURBO DEBUGGER等调试器,而BOCHS则可以。因为我们不知道程序加载的时候其物理地址是多少,所以没办法在程序的指定物理地址下断点,但是我们可以把断点下到一个系统固定的地址,这个地址的数据应该是非关键的,然后我们把这个地址里的内容PATCH成R... 阅读全文
posted @ 2010-03-01 00:20 robinh00d 阅读(731) 评论(0) 推荐(0) 编辑
2010年2月22日
论“鬼”以及经验与逻辑
摘要: 作者:顾彬 “不相信鬼存在”与“相信鬼不存在”,这两个命题乍看很相似,其实仔细 分辨,二者有着本质的差别。前者对于“鬼”的存在与否做的是怀疑的判断,意 思是到目前为止没有证据表明“鬼”存在,但并不排除以后发现“鬼”真实存在 的证据的可能。而后者则直接做否定判断,认为“鬼”不可能存在,不管现在还 ... 阅读全文
posted @ 2010-02-22 17:32 robinh00d 阅读(241) 评论(0) 推荐(0) 编辑
下一页