上一页 1 ··· 5 6 7 8 9 10 11 12 13 ··· 28 下一页
2014年3月18日
Dll注入技术之输入法注入
摘要: DLL注入技术之输入法注入 输入法注入原理是利用Windows系统中在切换输入法需要输入字符时,系统就会把这个输入法需要的ime文件装载到当前进程中,而由于这个Ime文件本质上只是个存放在C:\WINDOWS\system32目录下的特殊的DLL文件,因此我们可以利用这个特性,在Ime文件中使用L... 阅读全文
posted @ 2014-03-18 17:55 vcerror 阅读(1857) 评论(0) 推荐(1) 编辑
暴力”注入Explorer
摘要: 暴力”注入Explorerpjf(jfpan20000@sina.com)向一个运行中的进程注入自己的代码,最自然莫过于使用CreateRemoteThread,如今远线程注入已经是泛滥成灾,同样的监测远线程注入、防止远线程注入的工具也举不胜举,一个木马或后门启动时向Explorer或IE的注入操作... 阅读全文
posted @ 2014-03-18 17:43 vcerror 阅读(408) 评论(0) 推荐(0) 编辑
Dll注入技术之APC注入
摘要: APC注入的原理是利用当线程被唤醒时APC中的注册函数会被执行的机制,并以此去执行我们的DLL加载代码,进而完成DLL注入的目的,其具体流程如下: 1)当EXE里某个线程执行到SleepEx()或者WaitForSingleObjectEx()时,系统就会产生一个软中断。 2)当线程再次被唤醒时... 阅读全文
posted @ 2014-03-18 14:48 vcerror 阅读(934) 评论(0) 推荐(0) 编辑
2014年3月4日
在WinDBG中查看内存的命令
摘要: 当我们在调试器中分析问题时, 经常需要查看不同内存块的内容以分析产生的原因, 并且在随后验证所做出的假设是否正确. 由于各个对象的状态都是保存在内存中的, 因此内存的内容也就相当于对象的状态.d命令最常见的格式就是根据指定的类型信息来显示存储在某地址中的数据. 调试器并不会去猜测这个地址上存储的是什... 阅读全文
posted @ 2014-03-04 11:23 vcerror 阅读(416) 评论(0) 推荐(0) 编辑
2014年3月3日
在驱动和应用程序间共享内存
摘要: 在不同的场合,很多驱动编写人员需要在驱动和用户程序间共享内存。两种最容易的技术是:l应用程序发送IOCTL给驱动程序,提供一个指向内存的指针,之后驱动程序和应用程序就可以共享内存。(应用程序分配共享内存)l由驱动程序分配内存页,并映射这些内存页到指定用户模式进程的地址空间,并且将地址返回给应用程序。... 阅读全文
posted @ 2014-03-03 11:46 vcerror 阅读(323) 评论(0) 推荐(0) 编辑
驱动和应用层的三种通信方式
摘要: 驱动程序和客户应用程序经常需要进行数据交换,但我们知道驱动程序和客户应用程序可能不在同一个地址空间,因此操作系统必须解决两者之间的数据交换。驱动层和应用层通信,主要是靠DeviceIoControl函数,下面是该函数的原型:BOOLDeviceIoControl(HANDLEhDevice,//设备... 阅读全文
posted @ 2014-03-03 11:45 vcerror 阅读(1357) 评论(0) 推荐(0) 编辑
2014年2月28日
KiFastCallEntry() 机制分析
摘要: 1. 概述从 windows xp 和 windows 2003 开始使用了快速切入内核的方式提供系统服务例程的调用。KiFastCallEntry() 的实现是直接使用汇编语言,C 语言不能直接表达某些操作。我从 windows 2003 里反汇编出来,写成 C 伪码形式,点击这里察看:KiFas... 阅读全文
posted @ 2014-02-28 15:21 vcerror 阅读(854) 评论(0) 推荐(0) 编辑
error U1087: cannot have : and :: dependents for same target
摘要: DDK下build -c错误:error U1087: cannot have : and :: dependents for same target被build的source code所在path不能含有空格. 阅读全文
posted @ 2014-02-28 11:15 vcerror 阅读(235) 评论(0) 推荐(0) 编辑
使用 Lookaside List 分配内存
摘要: 1. 概述windows 提供了一种基于 lookaside list 的快速内存分配方案,区别于一般的使用 ExAllocatePoolWithTag() 系列函数的内存分配方式。每次从 lookaside list 里分配 fixed size 的内存。 系统构建两个条 lookaside 链表... 阅读全文
posted @ 2014-02-28 10:31 vcerror 阅读(641) 评论(1) 推荐(0) 编辑
Windows内存管理(3)--检查内存可用性,结构化异常处理 和 ASSERT
摘要: 1.检查内存可用性在驱动程序开发中,对内存的操作要格外小心。如果某段内存是只读的,而驱动程序试图去写操作,会导致系统的崩溃。DDK提供了两个函数,帮助程序员在不知道某段内存是否可读写的情况下,试探这段内存的可读写性。VOIDProbeForRead(INCONSTVOID*Address,INSIZ... 阅读全文
posted @ 2014-02-28 10:24 vcerror 阅读(376) 评论(0) 推荐(0) 编辑
上一页 1 ··· 5 6 7 8 9 10 11 12 13 ··· 28 下一页