摘要:
对于Intel 80486或以上的CPU,CR0的位16是写保护(Write Proctect)标志。当设置该标志时,处理器会禁止超级用户程序(例如特权级0的程序)向只读页面执行写操作;当该位复位时则反之。因此,在写前把设置该位就可以climov eax, cr0and eax, -65537 ... 阅读全文
摘要:
SSDT即System Service Dispath Table,它是一个表,这个表中有内核调用的函数地址。KeServiceDescriptorTable:是由内核(Ntoskrnl.exe)导出的一个表,这个表是访问SSDT的关键,具体结构是typedef struct ServiceDesc... 阅读全文
摘要:
SSDT即System Service Dispath Table,它是一个表,这个表中有内核调用的函数地址。KeServiceDescriptorTable:是由内核(Ntoskrnl.exe)导出的一个表,这个表是访问SSDT的关键,具体结构是typedef struct ServiceDesc... 阅读全文
#define SYSTEMSERVICE(_func) KeServiceDescriptorTable.ServiceTableBase[ *(PULONG)((PUCHAR)_func+1) 这
摘要:
这个跟KeServiceDescriptorTable的结构有关下面是KeServiceDescriptorTable的结构定义KeServiceDescriptorTabletypedef struct _KSERVICE_TABLE_DESCRIPTOR { PULONG_PTR Base; P... 阅读全文
摘要:
2、系统服务调度表SSDT及SSSDTShadow系统服务:由操作系统提供的一组函数(内核函数),API可以间接或者直接的调用系统服务。操作系统以动态链接库(DLL)的形式提供API。SSDT:系统服务调度表(SystemServiceDispatchTable),该表可以基于系统服务编号进行索引,... 阅读全文
摘要:
http://www.rosoo.net/a/201001/8347.html 阅读全文
摘要:
http://www.rosoo.net/a/201001/8347.html 阅读全文
摘要:
Windbg是微软开发的免费源码级调试工具。Windbg可以用于Kernel模式调试和用户模式调试,还可以调试Dump文件。1.从http://www.microsoft.com/whdc/devtools/debugging/installx86.mspx下载Install Debugging T... 阅读全文
摘要:
Windbg是微软开发的免费源码级调试工具。Windbg可以用于Kernel模式调试和用户模式调试,还可以调试Dump文件。1.从http://www.microsoft.com/whdc/devtools/debugging/installx86.mspx下载Install Debugging T... 阅读全文
摘要:
in ring3:lkd> ? ntdll!ZwOpenProcessEvaluate expression: 2089999739 = 7c92dd7blkd> ?ntdll!NtOpenProcessEvaluate expression: 2089999739 = 7c92dd7b可以看到,在... 阅读全文
摘要:
SSDT就是一张存于系统内核中的一张表。这个表的作用就是指向一些函数的地址。比如我们调用OPENPROCESS,最终会调用SSDT表中的122号服务。哈~~ 阅读全文
摘要:
SSDT就是一张存于系统内核中的一张表。这个表的作用就是指向一些函数的地址。比如我们调用OPENPROCESS,最终会调用SSDT表中的122号服务。哈~~ 阅读全文
摘要:
CR0当中有一个写保护位,是保护内存不可写属性的,为了能够写入内核,只能把它的保护给咔嚓掉了,不过……如果做完了手脚但不还原写保护属性的话,极有可能会BOSD./=====================================================================... 阅读全文