[讨论]关于APIC与时钟中断

ookkaa cr8=tpr=irql

IRQL = VectorToIRQL[TPR / 16]

[已解决]驱动内核态怎么调用应用层的函数？
MmGetSystemRoutineAddress 

[讨论]2022从拾科技梦想.一路相随

柒爻 不是哟.我从CF外挂时期就对外挂编程这方面很感兴趣！.直到现在.卡死在一个阶段了

那个阶段?

[求助] windbg
去百度搜win10怎么禁止某个软件联网？

[已解决]驱动内核态怎么调用应用层的函数？

hzqst FltSendMessage

大表哥,IDAPython7.7,咋装第三方库啊

[公告]看雪·第六届 安全开发者峰会（2022 SDC）最新议题公布！
试试运气

[原创]任务门进1环

taolaoda 任务段 eq 8003f0c0 0000a912`FDCC0068，大兄弟，如果我没记错的化是E9吧

经过测试，A9和E9都能跑

[原创]任务门进1环

#include <iostream>
#include <windows.h>




typedef struct TSS {
	DWORD link; // 保存前一个 TSS 段选择子，使用 call 指令切换寄存器的时候由CPU填写。
	// 这 6 个值是固定不变的，用于提权，CPU 切换栈的时候用
	DWORD esp0; // 保存 0 环栈指针
	DWORD ss0;  // 保存 0 环栈段选择子
	DWORD esp1; // 保存 1 环栈指针
	DWORD ss1;  // 保存 1 环栈段选择子
	DWORD esp2; // 保存 2 环栈指针
	DWORD ss2;  // 保存 2 环栈段选择子
	// 下面这些都是用来做切换寄存器值用的，切换寄存器的时候由CPU自动填写。
	DWORD cr3;
	DWORD eip;
	DWORD eflags;
	DWORD eax;
	DWORD ecx;
	DWORD edx;
	DWORD ebx;
	DWORD esp;
	DWORD ebp;
	DWORD esi;
	DWORD edi;
	DWORD es;
	DWORD cs;
	DWORD ss;
	DWORD ds;
	DWORD fs;
	DWORD gs;
	DWORD ldt;
	// I/O 位图基地址域
	DWORD io_map;
} TSS;

DWORD st; 

DWORD g_esp;
DWORD g_cs;
//_declspec(naked)
_declspec(naked) void func() {
	__asm {
		mov g_esp, esp;
		mov eax,0;
		mov ax, cs;
		mov g_cs, eax;
		iret;
	}
}

TSS tss = {
		0x00000000,//link
	    0x00000000,//esp0
		0x00000010,//ss0
		0x00000000,//esp1
		0x00000000,//ss1
		0x00000000,//esp2
		0x00000000,//ss2
		0x00000000,//cr3
		(DWORD)func,//eip
		0x00000000,//eflags
		0x00000000,//eax
		0x00000000,//ecx
		0x00000000,//edx
		0x00000000,//ebx
		0x00000000,//esp
		0x00000000,//ebp
		0x00000000,//esi
		0x00000000,//edi
		0x00000023,//es  
		0x000000B1,//cs  
		0x000000C1,//ss
		0x00000023,//ds
		0x000000D1,//fs  进一环，我把FS也改了，因为进0环的时候FS为30，DLP为0
		0x00000000,//gs
		0x00000000,//ldt
		0
};

int main(int argc, char* argv[])
{
	/*
	TSS(GDT)
	eq 8003f090 0000E941`e0a00068
	Task-Gate(IDT)
	eq 8003f500 0000E500`00930000
	CS
	eq 8003f0b0 00cfBb00`0000ffff   
    SS
	eq 8003f0c0 00cfB300`0000ffff
	FS
	eq 8003f0d0 ffc0B3df`f0000001
	*/
	st = (DWORD)VirtualAlloc((void*)0,0x1000,MEM_RESERVE | MEM_COMMIT,PAGE_EXECUTE_READWRITE);
	tss.esp = st + 0x800;
	tss.esp0 = st + 0x800;
	printf("TSS:%x\n", &tss);
	printf("func:%x\n", tss.eip);
	printf("please input cr3:\n");
	scanf("%x", &tss.cr3);
	
	__asm 
	{
		int 0x20;
	}
	VirtualFree((LPVOID)st,0x1000,MEM_RELEASE);
	printf("g_cs = %08x\ng_esp = %08x\n", g_cs, g_esp);
	getchar();
	return 0;
}

[原创]任务门进1环

印度硬汉 兄弟，为什么有任务段这种东西了还要提供一下任务门呢？

TSS（Task State Segment）任务状态段
一、如果你用jmp跳到TSS段，你还得自己jmp回到之前的TR寄存所保存的TSS段，
二、如果是call的话你还得修改下EFLAG寄存器的NT位，之后用iret返回。
       还不如直接用状态门，只需要搞一个任务门，之后直接iret返回，不需要修改EFLAG和不需要自己jmp回来这也许就是任务门的优点吧

[求助]兄弟们有滴水中级下海哥讲的视频吗

wx_python_215 老哥上期都啃完了？ 我还在保护模式

一样的进度

[求助]兄弟们有滴水中级下海哥讲的视频吗

Rare Mango 啊这，火哥东扯一下西扯一下重点不是很清楚

+1我也感觉，扯不明白

[原创]PEB结构：获取模块kernel32基址技术及原理分析
三个成员任选一个，我们这里使用InInitializationOrderModuleList成员，Flink代表第一个节点，我们跳转到0x5E2590,由于我们是从InInitializationOrderModuleList中的Flink跳过来的，因此我们向上拉一点，从0x005E2580处开始为_LDR_DATA_TABLE_ENTRY结构

解释：由于InInitializationOrderModuleList是_LDR_DATA_TABLE_ENTRY的第三个成员，偏移是0x10，前三个结构：
     LIST_ENTRY InLoadOrderLinks;                     0x0
     LIST_ENTRY InMemoryOrderLinks;               0x8
     LIST_ENTRY InInitializationOrderLinks;         0x10

[原创]PEB结构：获取模块kernel32基址技术及原理分析
太强了，get到了