摘要:
精彩回顾: 我是一个explorer的线程 我是一个杀毒软件线程 我是一个IE浏览器线程 比特宇宙-TCP/IP的诞生 Unix、Linux、Windows三大帝国集团发表《关于比特宇宙推进经贸合作的联合声明》的消息很快传遍整个比特宇宙,位置偏僻的NextStep帝国也收到了这条消息。 NextSt 阅读全文
摘要:
从事信息安全技术行业的小伙伴们都知道沙箱技术(有些也称沙盒),用来判断一个程序或者文件是否是恶意的病毒、木马、漏洞攻击exp或其他恶意软件。其原理简单来说就是提供了一个虚拟的环境,把分析目标放到这个虚拟环境中,通过一系列技术来“观测”其行为,根据观测结果来判定这是一个正常良民(合法文件)还是一个不怀 阅读全文
摘要:
搞内核研究的对中断这个概念肯定不会陌生,经常我们会接触很多与中断相关的术语,按照软件和硬件进行分类: 硬件CPU相关: IRQ、IDT、cli&sti 软件操作系统相关: APC、DPC、IRQL 一直以来对中断这一部分内容弄的一知半解,操作系统和CPU之间如何协同工作也是很模糊。最近花了点时间认真 阅读全文
摘要:
这是一个老话题了,推荐一篇文章: http://blog.csdn.net/breaksoftware/article/details/8150476#0-tsina-1-83826-397232819ff9a47a7b7e80a40613cfe1 这里简单画图阐述核心问题所在: 关键在于ntdll 阅读全文
摘要:
在使用插User APC注入DLL时,经常面临一个问题,那就是线程必须是处于Alertable模式才能注入成功。但一直对这个Alertable的含义不甚清楚,今天总算是把这个梗消化了。 微软对Alertable与APC的执行关系有详细的描述: https://msdn.microsoft.com/e 阅读全文
摘要:
整体过程如下: 需要说明两点: 1.在XP中,新进程主线程的启动,会先执行一个用户态的APC,会执行ntdll!LdrInitializeThunk进行程序执行前的一些列初始化操作。其中很重要任务就是加载从Kernel32.dll开始的系统DLL。注意的是,这个APC的插入,根据WRK中的代码看来是 阅读全文
摘要:
原文链接:http://shayi1983.blog.51cto.com/4681835/1734822 本文为原创翻译,原文出处为 http://www.codemachine.com/article_x64kvas.html 对于原文中,较难理解或者论述过于简单的部分,则添加了译注;译注来自于内 阅读全文
摘要:
开发软件就好比人睡觉。床是硬件,人是软件。硬件是晦涩的,各种各样的,让你在上面开发程序是一件极其痛苦的,必须对硬件了解非常透彻才行。就像让你直接睡在石板床上,没几个人能坚持下来。这就像让你用汇编语言在单片机、微处理器上直接写程序很难受一样。后来有人说,我们在石板床上垫一层稻草,铺层凉席,睡起来没那么... 阅读全文
摘要:
======================================================LIST_ENTRYPsLoadedModuleList;[定 义] wrk\wrk-v1.2\base\ntos\mm\Sysload.c[初始化] wrk\wrk-v1.2\base\nt... 阅读全文