ALL TAGS
Android开发 (1)
Android逆向 (2)
COM注入 (1)
CTF (6)
Git (1)
Go语言恶意软件 (1)
IAT修复 (1)
IMGUI (1)
Iot (1)
Linux (4)
NTDLL (1)
Nginx (1)
OLLVM (3)
TLS (1)
U3D (1)
UE4 (8)
Unity3d (1)
VMP (1)
VMProtect (3)
VirtualKD (1)
WinDbg (1)
Windows内核 (9)
buildroot (1)
cmake (1)
docker (1)
firmadyne (1)
frida (1)
nodejs (1)
shared (1)
ssh (1)
wsl (1)
交叉编译 (1)
代理 (1)
代码混淆 (3)
僵尸网络 (1)
内核开发 (6)
内核编译 (1)
双机调试 (1)
反混淆 (5)
反调试 (1)
固件仿真 (1)
嵌入式 (1)
引擎逆向 (1)
恶意软件 (11)
易语言 (1)
样本分析 (11)
游戏安全 (13)
游戏引擎 (8)
病毒分析 (1)
移动安全 (3)
红队技术 (3)
运维 (1)
逆向工程 (13)
tag: %u5185%u6838%u5F00%u53D1.md

Tag: 内核开发

6 posts
x64页表自映射
2024-11-03 WindowsKernel
由于微软需要管理内存,内存由cr3维护,但r3又不能访问物理内存,因此微软设计了一种页表基址的基址;x64下分有pml4、pdpt、pde、pte四个表,每个表的表头地址用一个固定的虚拟地址进行保存,这个地址就被成为页表基址 页表自映射原理使用windbg命令!pte查看0地址数据。 这里的pxe、ppe、pde、pte地址为虚拟地址(pxe和ppe下边统称为pml4、pdpt),同时也被称为...
Read More
x86系统调用
2024-10-05 WindowsKernel
1、R3进入R0WindowsXp前R3进入R0都是依靠中断门(0x2E)进行提权,这种提权方式较为复杂,需要压入SS、CS、EIP、ESP等等一系列复杂操作。因此Xp后引入快速调用(FastCall)。 x86使用的是sysenter/sysreturn,x64是syscall/sysexit。 以APIReadProcessMemory为例,使用CE跳转到该函数,然...
Read More
x86进程线程
2022-10-03 WindowsKernel
一、ROCESS1、EProcess进程结构,每个进程都有这样一个结构。EPROCESS中还有一个KPROCESS,其中EPROCESS被称为执行体,主要是给R3进行访问;KPROCESS才是真正的对象结构。 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152...
Read More
x86驱动开发
2022-10-01 WindowsKernel
WDK下载链接:https://learn.microsoft.com/zh-cn/windows-hardware/drivers/download-the-wdk,根据页面对应内容下载即可。 x86驱动打开只能使用<=wdk8.1版本,对应的可用vs版本为<=vs2017。因此X86篇章的驱动开发环境如下: 系统:window7 x64 sp1 IDE:...
Read More
x86保护模式
2022-09-17 WindowsKernel
1、保护模式简介CPU分有:实模式、保护模式、虚拟8086模式,大多数操作系统都运行在保护模式下。 保护模式主要是用来保护寄存器、数据结构、指令,实际上也就是保护寄存器,因为cpu的数据都存放在寄存器中。 保护模式的特点:段和页。 实模式:16位系统DOS,访问的都是物理地址,不安全。 保护模式:将物理地址隔阂后,使用一种线性的虚拟地址来访问,相对实模式来说比较安全。并用段和页的特点来维护虚拟...
Read More
Windows内核双机调试
2022-02-18 WindowsKernel
传统模式BCD搭建1、系统设置打开CMD,输入下列指令后回车,会得到一个 {ID}。 Text1bcdedit /copy {current} /d DebugEntry 将{ID}代入下列两个指令中运行。 Text12bcdedit /displayorder {current} {ID} ...
Read More