| PlaneJun's Home

DCOM绕过PPL反射调用.Net原理

2025-03-17 Red

本篇只是记录James Forshaw, Google Project Zero提供的文章进行学习笔记，并非复现过程。具体细节还是去观摩大佬的文章学习比较好(参考链接1)。攻击原理Windows COM (Component Object Model) 架构是 Windows 操作系统的核心技术之一，它允许不同组件之间进行通信和交互。James Forshaw文章分析的攻击技术展示了如何利用 ...

Windows随机填充页表+DVRT分析

2025-02-19 Red

...

Windows线程本地储存_TLS分析

2025-01-23 Red

一、何为TLSThreadLocalStore(TLS)，线程本地存储。PE文件中一种特殊的数据存储方式，同时也是Windows操作系统提供的一种机制，允许每个线程拥有自己的数据区，而不是共享同一个全局变量。在多线程模式下，有些变量需要支持每个线程独享一份的功能，这种每个线程独享的变量会放到每个线程专有的存储区域，允许每个线程拥有自己单独的变量实例，简而言之，我们可以说每个线程都可以有自己独立的变...

x64页表自映射

2024-11-03 WindowsKernel

由于微软需要管理内存，内存由cr3维护，但r3又不能访问物理内存，因此微软设计了一种页表基址的基址；x64下分有pml4、pdpt、pde、pte四个表，每个表的表头地址用一个固定的虚拟地址进行保存，这个地址就被成为页表基址页表自映射原理使用windbg命令!pte查看0地址数据。这里的pxe、ppe、pde、pte地址为虚拟地址(pxe和ppe下边统称为pml4、pdpt)，同时也被称为...

x86系统调用

2024-10-05 WindowsKernel

1、R3进入R0WindowsXp前R3进入R0都是依靠中断门(0x2E)进行提权，这种提权方式较为复杂，需要压入SS、CS、EIP、ESP等等一系列复杂操作。因此Xp后引入快速调用(FastCall)。 x86使用的是sysenter/sysreturn,x64是syscall/sysexit。以APIReadProcessMemory为例，使用CE跳转到该函数，然...

x86进程线程

2022-10-03 WindowsKernel

一、ROCESS1、EProcess进程结构，每个进程都有这样一个结构。EPROCESS中还有一个KPROCESS，其中EPROCESS被称为执行体,主要是给R3进行访问；KPROCESS才是真正的对象结构。 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152...

x86驱动开发

2022-10-01 WindowsKernel

WDK下载链接:https://learn.microsoft.com/zh-cn/windows-hardware/drivers/download-the-wdk,根据页面对应内容下载即可。 x86驱动打开只能使用<=wdk8.1版本，对应的可用vs版本为<=vs2017。因此X86篇章的驱动开发环境如下: 系统:window7 x64 sp1 IDE：...

x86保护模式

2022-09-17 WindowsKernel

1、保护模式简介CPU分有：实模式、保护模式、虚拟8086模式，大多数操作系统都运行在保护模式下。保护模式主要是用来保护寄存器、数据结构、指令，实际上也就是保护寄存器，因为cpu的数据都存放在寄存器中。保护模式的特点：段和页。实模式：16位系统DOS，访问的都是物理地址，不安全。保护模式：将物理地址隔阂后，使用一种线性的虚拟地址来访问，相对实模式来说比较安全。并用段和页的特点来维护虚拟...

Windows内核双机调试

2022-02-18 WindowsKernel

传统模式BCD搭建1、系统设置打开CMD，输入下列指令后回车，会得到一个 {ID}。 Text1bcdedit /copy {current} /d DebugEntry 将{ID}代入下列两个指令中运行。 Text12bcdedit /displayorder {current} {ID} ...

Tag: Windows内核