|
[原创] 《软件调试》分页机制windbg例子分析(各种填坑)
ZwTrojan 是的,PAE开启的情况下那个方法已经不适用了,之前一直没注意,不过现在我还是不怎么明白PAE的原理..PAE 启用时,在内核空间中多了一个最顶层的数据结构 “索引”,一般叫做 “PDPT”(页目录指针表),PAE 下的虚拟->物理地址转换,可以参考这篇:https://bbs.pediy.com/thread-218170.htm 实践中用得最多的还是虚拟和物理地址,逻辑与线性地址在概念上的意义大于实战的
最后于 2018-9-13 22:42
被shayi编辑
,原因:
|
|
|
|
[原创] 《软件调试》分页机制windbg例子分析(各种填坑)
ldk 调试方法有一定的局限性,比如无法实时追踪一些内核内存的状态,Win10 已经支持双物理机通过以太网线调试了,速度比那蛋疼的命名管道模拟串口的波特率快得多,是当前推荐的调试法
最后于 2018-9-11 21:08
被shayi编辑
,原因:
|
|
|
|
[翻译]绕过数据执行保护
译的不错,再接再厉~ |
|
|
|
[原创]---注销 QQ 过滤驱动设置的事件通知 CALLBACK (完)-------
我只会最简单的 DriverEntry() 和 DispatchIRP() |
|
[翻译]渗透测试的WINDOWS NTFS技巧集合
好文,学习一下,若有导致相应漏洞的文件系统伪码片段就更棒了 |
|
[原创]---驱动调试——挫败 QQ.EXE 的内核模式保护机制(part I)---
流哥 那是不是对windows10也可以在没有引导的时候就开始注入修改?理论上这对于任何操作系统都可行。 事实上·,这就是· bootkit 的机理,它将磁盘上原来合法的 MBR(由OS安装程序写入0号扇区) ,修改为 bootkit 的加载器,抢在内核前向内存注入恶意代码,实现更好的隐蔽性,完成它肮脏的事情后,再将控制转移到原来的前512字节MBR代码,好像啥事都没发生一样。一些BIOS 或UEFI bootkit 甚至就驻留在那些非易失性存储器的 ROM 中,借此绕过磁盘取证分析。 |
|
[原创]浅谈编码与内存----自我总结与经验分享
endlif 上面说的看内存是用啥看的?任何 16 进制编辑器,动态调试器,反汇编器,都可以看;ReadProcessMemory() API 也可以 “看” |
|
[原创]浅谈编码与内存----自我总结与经验分享
任何人对于内存的需求都不会超过 640 KBytes
|
|
|
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值