关于Windows内存结构方面做点笔记

DLL注入技巧
最新推荐文章于 2024-07-11 20:02:57 发布
原创 最新推荐文章于 2024-07-11 20:02:57 发布 · 609 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows #dll #exe

本文介绍了一种利用DLL注入技术实现远程进程控制的方法。通过确保本地和远程进程中的系统DLL(如kernel32.dll)加载到相同的内存地址,可以使用CreateRemoteThread函数在远程进程中执行如LoadLibrary等函数,从而实现DLL的远程加载。

老鸟勿笑

-------------------------------------------------------------------------------------------------------------------------------------------------

所有exe,dll都加在到用户分区,所有随Windows一起发布的dll都指定了不同的基地址,而且基本不会被加载到别处,所以能通过获取本地进程里系统dll的导出函数地址来让远程线程执行相通的函数。

比如远程注入的时候,本地进程和远程进程的kernel32.dll加载到的地址是一样的,所以LoadLibraryW(A)的地址也是一样的,可以作为参数传给CreateRemoteThread来启动线程来执行LoadLibrary加在dll实现注入。

就这样了~~~~~~

windows 内存管理api学习笔记
m0_46827210的博客
11-20 1295
文章目录为什么使用虚拟内存分配虚拟内存Windows内存管理APIVirtualAllocVirtualProtectVirtualFreeC++代码 为什么使用虚拟内存 虚拟内存最适合用来管理大型对象或数据结构。 比如说,电子表格程序,有很多单元格,但是也许大多数的单元格是没有数据的,用不着分配空间。也许,你会想到用动态链表,但是访问又没有数组快。定义二维数组,就会浪费很多空间。 它的优是同时具有数组的快速和链表的小空间的优。 分配虚拟内存 如果你程序需要大块内存,你可以先保留内存,需要的时候再提交
从DbgView探究Windows内存管理笔记
0xDQ的博客
04-29 966
0x00 前言 讲内存管理单纯的理论比较空洞,所以本文从探究DebugVeiw的内存分布开始,来探究windows系统的内存管理。 因为windows内存管理使用的是二叉树来实现的,所以在开始探究之前,可以先去了解二叉树这一数据结构。 ...
[笔记]Windows核心编程《十三》windows内存体系结构
二次元怪兽的博客
11-14 1503
参考 文章目录13.1 进程的虚拟地址空间进程的虚拟地址空间32位进程64位进程13.2 虚拟地址空间的分区13.2.1 空指针赋值区地址范围目的13.2.2 用户模式分区1.在x86 Windows下得到更大的用户模式分区2.在64位windows下得到2GB用户模式分区13.2.3 64KB禁入分区13.2.4 内核模式分区13.3 地址空间中区域预定地址空间中的一块区域13.4 给区域调拨物理储存器13.5 物理存储器和页交换器13.6 页面保护属性13.7 实例分析13.8 数据对齐的重要性 13.
Windows内存管理学习笔记(二)—— 物理内存的管理
lzyddf的博客
01-14 2194
Windows内存管理学习笔记(二)—— 物理内存的管理前言物理内存实验一:理解MmNumberOfPhysicalPagesMmPfnDatabase_MMPFN物理页状态六个链表实验二:理解零化链表实验三:查看进程占用的所有物理页 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! 物理内存 最大物理内存 10-10-12分页:最多识别4GB物理内存 2-9-9-12分页:最多识别64GB物理内存 操作系统限制 在xp系统中,即使采用2-9
Windows内存管理学习笔记(三)—— 无处不在的缺页异常
lzyddf的博客
01-18 1609
Windows内存管理学习笔记(三)—— 无处不在的缺页异常前言缺页异常实验一:设置虚拟内存 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! 缺页异常 描述: 当CPU访问一个地址,其PTE的P位(页面有效位)为0,此时会产生缺页异常 在windows中,缺页异常是时刻在发生的 PTE结构(10-10-12分页): 假设:当我们的物理内存大小只有2MB时,当我们需要用到某个物理页的时候,将对应物理页的P位置1,当我们不再需要使用该物理页时,
[笔记]Windows核心编程《十七》内存映射文件
二次元怪兽的博客
01-23 2278
参考 文章目录前言一、映射到内存的可执行文件和DLLCreateProcess调用过程二、映射到内存的数据文件三、使用内存映射文件四、用内存映射文件来处理大文件五、内存映射文件和一致性六、给内存映射文件的指定基地址七、内存映射文件的实现细节八、用内存映射文件再进程间共享数据九、以页交换文件为后背存储器的内存映射文件十、 稀疏调拨的内存映射文件 前言 内存映射文件 与虚拟内存相似,内存映射文件允许开发人员预定一块地址空间区域并给区域调拨物理存储器。不同之处在于内存映射文件的物理存储器来自磁盘上已有的文件,而不
操作系统笔记内存映射
小勇博客
02-04 3061
— 2024-02-04。
Windows核心编程笔记(十三)Windwos内存体系结构
春暖花开
01-19 3041
Windows内存管理机制,底层最核心的东西是分页机制。分页机制使每个进程有自己的4G虚拟空间,使我们可以用虚拟线性地址来跑程序。每个进程有自己的工作集,工作集中的数据可以指明虚拟线性地址对应到怎样的物理地址。进程切换的过程也就是工作集切换的过程,如Matt Pietrek所说如果只给出虚拟地址而不给出工作集,那这个地址是无意义的。(见图一)            在分页机制所形成的线性地址空
Windows API笔记(五)管理虚拟内存
David
05-08 2579
Windows API笔记(一)内核对象 Windows API笔记(二)进程和进程间通信、进程边界 Windows API笔记(三)线程和线程同步、线程局部存储 Windows API笔记(四)win32内存结构 Windows API笔记(五)虚拟内存 Windows API笔记(六)内存映射文件 Windows API笔记(七)堆 Windows API笔记(八)文件系统 Windows A...
[笔记]Windows核心编程《十四》探索虚拟内存
二次元怪兽的博客
12-12 1059
[笔记]Windows核心编程《十四》探索虚拟内存
Windows 32 汇编笔记(一):基础知识
最新发布
Flag少侠的博客
07-11 9727
实模式(Real Mode)是80x86处理器最早支持的工作模式,也是最基础的工作模式。实模式主要用于早期的MS-DOS操作系统和其他简单的操作环境。在实模式下,处理器能够直接访问1MB的物理内存空间。这个模式与8086处理器的工作方式完全兼容,因此得名“实模式”。
windows内核开发学习笔记十五:IRP结构
jyl_sh的专栏
04-15 3586
windows内核开发学习笔记十五:IRP结构 IRP(I/O Request Package)在windows内核中,有一种系统组件——IRP,即输入输出请求包。当上层应用程序需要访问底层输入输出设备时,发出I/O请求,系统会把这些请求转化为IRP数据,不同的IRP会启动I/O设备驱动中对应的派遣函数。 一、IRP类型 由于IRP是响应上层应用程序的。可想而知,IRP类型是与上层对底层设备的访问类型相对应。文件相关的I/O函数如:CreateFile/ReadFile/WriteFile/Clo.
行业文档-设计装置-笔记结构.zip
08-21
本文将深入探讨“笔记结构”的核心组成部分,包括硬件、软件、散热系统以及设计考量因素等方面,帮助读者了解笔记本电脑内部的运作机制。 一、硬件组件 1. 处理器(CPU):作为电脑的大脑,处理器负责执行所有的...
Windows程序设计读书笔记(合集)
03-17
笔记可能探讨如何通过优化代码结构、减少内存占用和提高计算效率来提升Windows应用程序的性能。 通过阅读和研究这份《Windows程序设计读书笔记》,开发者不仅可以深化对Windows编程的理解,还能获得实际项目中的...
关于监控文件系统上的IRP序列
残酷な天使
03-03 3898
最近在写一个基于生物免疫学原理的恶意代码检测系统,其中需要应用程序在Windows内核中产生的IRP序列。本文总结一下怎么获得文件系统上的IRP序列。希望对需要ring0主动向ring3频繁通信的朋友有帮助 基本框架是Minifilter。向minifilter注册回调函数来监控走过文件系统设备上的IRP。 Minifilter框架详见微软WDK文档:http://msdn.micr
Windows内核字符串相关函数
残酷な天使
05-09 3199
函数名含有Cb的是以字节数为单位,含有Cch的是以字符数为单位。 函数名 作用 取代
关于PE格式中的文件地址,虚拟地址,相对虚拟地址的理解
残酷な天使
04-21 2793
<br /><br />首先贴上定义<br />1.文件偏移地址 (File Offest)<br />数据在PE文件中的地址叫文件偏移地址,个人认为叫文件地址更加准确.这是文件在磁盘上存放时相<br />对文件开头的偏移.<br /><br />2.装载地址 (Image Base)<br />PE装入内存时的基地址.默认情况下,EXE文件在内存中的基地址是0x00400000,DLL文件是0x10000000.<br /><br />这些位置可以通过修改编译选项更改.<br /><br />3.虚拟内
关于驱动开发的编译、调试环境
残酷な天使
04-21 1568
<br /><br />很多书上都建议抛开VS平台,直接用普通文本编辑器和DDK的命令行工具进行编码、编译,但对我这种小菜鸟貌似没有VS这个IDE比较不习惯,毕竟VS结构成员自动弹出、自动纠错什么的功能还是蛮实用的,减少出错几率~~呵呵。所以网上找了一下,发现一个VS的扩展:Visual ddk。下面说一下配置驱动开发的编译、调试环境。<br /> <br />直接使用Visualddk+VS完成所有编译、调试工作的最好如下调整:<br />先按官网上的步骤配置好默认的Visualddk,将Visuald
成功实现通过SSDT HOOK拒绝指定文件的访问
残酷な天使
05-23 1195
菜鸟习作,老鸟勿笑~~ ---------------------------------------------------------------------------------------------------------------------------------------------------------------------- 经历两天终于把这个搞出来了,作为一个菜鸟还是有成就感滴~~嘿嘿。下面记录一下实现过程中的各种问题,作为以后的参考。 一句话:内核如沼泽。 首先是
Windows API编程学习笔记整理
Windows API(Application Programming Interface,应用程序编程接口)是微软为Windows操作...本笔记将围绕Windows API的核心函数、典型应用、开发技巧等方面进行深入讲解,为开发者提供系统性的学习路径和实践指导。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值