|
[原创]PE加载器的简单实现
pe文件加载后在内核有对应的section,file数据结构,可没简单 |
|
[讨论] 为什么32位驱动程序不能运行在64系统中
64位系统内核层一句32位的代码都没有 |
|
[原创]驱动级VT技术EPT实现无痕HOOK保护指定进程----VT EPT原理解析和进阶
所谓的无痕hook原理和shadowWalk其实差不多 |
|
[原创]X64调用门的使用---R3提权R0读写MSR ---支持WIN7 WIN10
且换GS后才能INT 3,在返回RING0之前也要手动切换GS |
|
[原创]ShadowWalker内存伪装详细过程,附完整测试源码
搞过ring0的,ring3的没成功,ring3 CR3切换太频繁 |
|
|
|
|
|
[讨论]【今日话题】 | 阿里巴巴无条件支持员工拒绝陪酒
内部管理看来出了一些问题,但阿里巴巴仍然有值得我支持的理由! |
|
[原创]x86中通过 call far 来进入1环
那年雨夏 虽然这时的 nt 本身就为1,所以不用给 nt 置1,大佬我遗漏了啥。。。我写的这篇帖子应该可以帮到你https://bbs.pediy.com/thread-258279.htm |
|
[原创]x86中通过 call far 来进入1环
eflags的nt位表示是否是任务嵌套返回,任务嵌套和非任务嵌套两种状态在执行iret指令时的行为是不一样的 |
|
[原创]Runtime运行时库在MT与MD之间的差别
总结:为了使程序能在其他电脑上运行,应该采用mtd或mt |
|
[求助]内核调用ZwProtectVirtualMemory总是失败返回C0000005错误或PAGE_FAULT_IN_NONPAGED_AREA
月生沧海 我看了一下ntdll 两者调用index都是0x50 感觉俩是一样的如果是从用户模式调用Native API则previous mode是用户态,如果从内核模式调用Native API则previous mode是内核态。previous为用户态时Native API将对传递的参数进行严格的检查,而为内核态时则不会。 调用Nt API时不会改变previous mode的状态,调用Zw API时会将previous mode改为内核态,因此在进行Kernel Mode Driver开发时可以使用Zw系列API可以避免额外的参数列表检查,提高效率。 |
|
|
|
[求助]内核apc插到32位进程无法执行
大概率是堆栈没处理好的问题,要知道kernelruntine,normalruntine这两个成员所指的函数都不是你自己调用的,而是KiDeliverApc调用的,参数个数,有没有返回值都不是你能控制的 |
|
[原创]用机器码执行的区别来区分32位和64位环境
64位才有rex指令前缀 |
|
[原创]获取被挂起进程基址小技巧(傀儡进程)
SAO 能解释一下这个技巧的原理吗?为什么GetThreadContext可以直接获取PEB,这是规律吗?看有的傀儡进程demo还会直接在获取寄存器数据后使用eax=oep,能解释一下吗?以挂起的方式创建进程,其线程上下文context的ebx存放的就是peb的地址,这是通过逆向分析进程创建3环部分得到的结论 |
|
开源内核中调用ZwQueryVirtualMemory查询目标内存地址保护属性源码
啊这,还以为你是自己实现了这个函数,原来只是ZwQueryVirtualMemory包装一下 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值