摘要:
一、先聊聊保护模式的基本概念:为什么叫保护模式?到底保护了啥?是怎么保护的? 1、保护模式:要搞定出保护模式的意义,需要理解另一个概念:实模式;实模式下,存在以下重大的安全隐患: (1)内存没权限区别:用户程序可以访问任意内存,包括操作系统运行的内存、其他程序运行的内存(个人观点:这是万恶之源。病毒 阅读全文
摘要:
用户按下开机键,几秒的时间,都经历了啥? 1、cpu各个寄存器赋初始值,cs.base=0xffff0000, eip=0xfff0,其他寄存器都是0,这时cs:ip得到的物理地址:0xfffffff0; cpu上电后为啥会把cs:ip赋成这种初始值了? 可能是希望把BIOS-ROM放在可寻址4GB 阅读全文
摘要:
windows平台中,某些进程做了各种保护,比如hook了terminateProcess,又或者注册了进程终止函数的回调。当调用这些API或任务管理器终止该进程时,会被绕过,典型如某些杀毒软件,怎么才能终止这些进程了? 进程是由线程组成的,如果该进程名下所有线程都终止,此进程也会被windows回 阅读全文
摘要:
在windows平台做逆向、外挂等,经常需要调用很多未导出的内核函数,怎么方便、快速查找了?可以先用IDA等工具查看硬编码,再根据硬编码定位到需要调用的函数。整个思路大致如下: 1、先查找目标模块 遍历模块的方式有多种。既然通过驱动在内核编程,这里选择遍历driverObject的DriverSec 阅读全文