vcerror

2013年9月17日

摘要：步骤：1. 使用Windbg挂钩到崩溃的进程上面2. 使用~*k列出所有线程3. 搜索UnhandledExceptionFilter所在的线程4. 使用~ns切换到上面崩溃所在的线程，n为线程前面的序号5.使用kv显示线程调用堆栈6,可以看到02af7740 7c83ab50 02af7768 7... 阅读全文

posted @ 2013-09-17 12:12 vcerror 阅读(258) 评论(0) 推荐(0) 编辑

使用Windbg调试系统弹出的内存不可读错误

posted @ 2013-09-17 12:12 vcerror 阅读(214) 评论(0) 推荐(0) 编辑

2013年8月17日

驱动层hook系统函数的时，如何屏蔽掉只读属性？

摘要：对于Intel 80486或以上的CPU，CR0的位16是写保护（Write Proctect）标志。当设置该标志时，处理器会禁止超级用户程序（例如特权级0的程序）向只读页面执行写操作；当该位复位时则反之。因此，在写前把设置该位就可以climov eax, cr0and eax, -65537 ... 阅读全文

posted @ 2013-08-17 16:07 vcerror 阅读(406) 评论(0) 推荐(0) 编辑

Rootkit之SSDT hook（通过CR0）

摘要： SSDT即System Service Dispath Table，它是一个表，这个表中有内核调用的函数地址。KeServiceDescriptorTable：是由内核（Ntoskrnl.exe）导出的一个表，这个表是访问SSDT的关键，具体结构是typedef struct ServiceDesc... 阅读全文

posted @ 2013-08-17 15:00 vcerror 阅读(274) 评论(0) 推荐(0) 编辑

Rootkit之SSDT hook（通过CR0）

posted @ 2013-08-17 15:00 vcerror 阅读(242) 评论(0) 推荐(0) 编辑

#define SYSTEMSERVICE(_func) KeServiceDescriptorTable.ServiceTableBase[ *(PULONG)((PUCHAR)_func+1) 这

摘要：这个跟KeServiceDescriptorTable的结构有关下面是KeServiceDescriptorTable的结构定义KeServiceDescriptorTabletypedef struct _KSERVICE_TABLE_DESCRIPTOR { PULONG_PTR Base; P... 阅读全文

posted @ 2013-08-17 14:15 vcerror 阅读(163) 评论(0) 推荐(0) 编辑

SSDT

摘要： 2、系统服务调度表SSDT及SSSDTShadow系统服务：由操作系统提供的一组函数（内核函数），API可以间接或者直接的调用系统服务。操作系统以动态链接库（DLL）的形式提供API。SSDT：系统服务调度表（SystemServiceDispatchTable），该表可以基于系统服务编号进行索引，... 阅读全文

posted @ 2013-08-17 12:31 vcerror 阅读(507) 评论(0) 推荐(0) 编辑

简单HOOK SSDT实现文件防删除

摘要： http://www.rosoo.net/a/201001/8347.html 阅读全文

posted @ 2013-08-17 12:08 vcerror 阅读(149) 评论(0) 推荐(0) 编辑

简单HOOK SSDT实现文件防删除

摘要： http://www.rosoo.net/a/201001/8347.html 阅读全文

posted @ 2013-08-17 12:08 vcerror 阅读(209) 评论(0) 推荐(0) 编辑

使用Windbg调试内核

摘要： Windbg是微软开发的免费源码级调试工具。Windbg可以用于Kernel模式调试和用户模式调试，还可以调试Dump文件。1.从http://www.microsoft.com/whdc/devtools/debugging/installx86.mspx下载Install Debugging T... 阅读全文

posted @ 2013-08-17 11:45 vcerror 阅读(266) 评论(0) 推荐(0) 编辑

公告