Flyour的博客

Cc Cache manager Cm Configuration manager Ex Executive support routines FsRtl File system driver run-time library Hal Hardware abstraction layer Io I/O manager Ke Kernel Lpc Local Procedure Cal...

最近一直在win10 下办公，非常想念linux的感觉。恰好最近需要在终端下运行一些脚本，所以尝试了一下windows 下的终端利器： cmdercmder 如何安装和基础配置我就不说了，网上一大堆。这里主要讲讲我遇到的问题。配置好后，我对cmder 最难以忍受的就是， 太慢了。cmder太慢了，一个ls命令几乎要延迟1s， 这对于有轻微强迫症的人来说，几乎可以成为放弃cmder的理由。怎...

PS C:\Users\Mr.wang> Get-AppxPackage *MicrosoftEdgeName : Microsoft.MicrosoftEdgePublisher : CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=U...

我们用windbg 在 user model 下调试程序时， 经常是直接 file->attach to a process 这样附加到一个进程上。但是我在调试 edge 时遇到两个问题：edge 有许多进程，要附加到哪个上？edge 是 Universal Windows Platform (UWP) app ， 官方文档上说：A UWP app will not be sus...

在windows下用windbg调试时，符号文件是很重要的。没有符号文件就先废掉了windbg的一半功力。对于window xp 的系统，微软官方已经不再提供符号文件了，所以只能自己下载离线符号文件包用了。可以在网上找一找，如果找不到，可以去我的csdn 下载资源里。对于windows 7系统，微软虽然提供符号文件(在线符号服务器），但是有时因为某些文件版本过老的问题，会出现找不到符号文件的情...

用windbg 调试堆时，遇到了一些问题。我发现堆的末尾都是以 8ab + 800 结尾的。而且删除的堆内容被填充为 feeefeee ， 而那些新申请没有初始化的堆，则被填充为 baadfood 。这是因为系统检测到了调试器，堆管理器自动使用了调试堆。即便你使用attach 也是一样的。查了一下，一些人用了和0day安全一样的方法，就是在程序中加 int 3 断点，然后在堆完成初始化后进...

今天想安装以下wireshark ，结果没想到会安装出错。什么玩意，wireshark 不是应该对windows很友好吗？具体情况如下：安装的时候提示 a newer version of winpcap is already installed on this machine 。 大致意思就是我电脑上本身已经安装了一个比较新的winpcap ，导致不能看装wireshark 对应的较老版本...

这两天分析 cve-2011-0027 的时候，一直遇到一个问题，windbg 或者 od没有办法正常中断 ie8。什么意思呢？就是我用调试器附加了进程。当进程遇到异常时会弹出下面的窗口：这就很奇葩了， 调试器：我都附加你了，为啥你遇到异常不告诉我呢？！！我也不明白。找了挺久的原因，终于找到了。IE8的一个重要特性就是每个Tab 页在独立的进程中运行，我们称之为LCIE (Loose...

kd> p001b:00c91874 ff5dfa call fword ptr [ebp-6]kd> reax=00000001 ebx=7ffd6000 ecx=0012f9ec edx=778570b4 esi=0012f9f8 edi=0012fb18eip=00c91874 esp=0012f9e0 ebp=0012f9f0 iopl=0 ...

EPROCESS 里有个token结构，是进程的权限令牌，如果能把system进程的token 替换到 一般进程的eprocess里，则一般进程也可以获得system权限。但是这个操作需要Ring0的权限，因为system的eprocess在系统内存空间里。所以问题有二： 1. 如何获得Ring0权限？ 可以通过调用门的方式暂时提权到Ringi0 2. 如何找到system进程和当前...

emit指令的作用：编译器不认识的指令，拆成机器码来写。插入垃圾字节来反跟踪，又称花指令。用emit就是在当前位置直接插入数据（实际上是指令），一般是用来直接插入汇编里面没有的特殊指令，多数指令可以用asm内嵌汇编来做，没有必要用emit来做，除非你不想让其它人看懂你的代码。_emit是伪指令 一个简单的例子 int main() { __asm{ _em...

该函数并未在用户态中导出，不过有个用户态函数IsMenu调用了它，可以通过判断IsMenu中相关字节码的位置获取HMValidateHandle的地址。bool FindHMValidateHandle(HMODULE user32){ bool result = false; do { PBYTE is_menu = (PBYTE)GetProcAddr...

__asm { pushad int 3 mov eax, fs:[0x124] mov ebx, [eax + 0x50] mov eax, 4 mov ecx, ebx SEARCH: mov ecx, [ecx + 0xb8] sub ec...

https://blog.youkuaiyun.com/suppercoder/article/details/9341941 这是一篇介绍分别在Ring0 和 Ring3 下是使用ZwQuerySystemInformation 函数来获取一些系统信息的函数。比如可以获取进程表和句柄表。可以参考看看。//声明ZwQueryAyatemInformationNTSTATUS ZwQuerySystemI...

用OllyDbg调试软件时，有时候会遇到一些奇怪的异常，莫名就进入了一个异常处理函数。让人很是苦恼，不能正常的进行调试。比如我在分析cve-2010-2883 漏洞时，用Od调试Adobe reader时，就会莫名进入异常处理函数中，如下：这种异常是很不正常的，为了证明不是漏洞文件的问题，我特意在进程正常附加的情况下，用adobe reader打开一个正常的pdf文件。 然后发现，当我在a...

当用户登录到Windows 系统中时，winlogon 进程会创建一个交互式窗口站，和三个桌面。应用程序所创建的窗口，一定属于某一个桌面。 交互式窗口站包含剪贴板，键盘，鼠标，显示器和三个桌面。三个桌面分别是登陆桌面，交互桌面，屏幕保护桌面。 当一个进程调用NtUserCreateWindowStation 系统服务创建一个窗口站时，此窗口站与该调用进程相关联，并且属于该进程所在的会话。 当...

#Windbg虚拟机双机内核调试 做内核调试时，我们经常使用到windbg的虚拟机双机调试，所以这里记录一下配置双机调试的过程，方便查询。另外，微软提供了一个windbgpreview 工具，算是windbg的升级版本，ui更好看了，并且把x86和 x64合在了一起，还不需要管理员权限运行。比较方便。首先选择连接方式，用虚拟机只有一种串口方式，通过虚拟机模拟的串口输出到主机上的命名管道，...

报错就是” 无可用源 ” ， “此模块的调试信息中缺少源信息”这个报错经常出现在我们 调试的时候， 所谓的源信息，其实就是我们的源码文件。明明有源文件，又为什么会找不到呢？我两次遇到这个问题，。第一次的解决方法是：修改项目配置进入项目的属性页 -》 C/C++ -》 常规 -》 调试信息格式 -》 用于”编辑并继续“ 的程序数据库。这里大家可以做个尝试，将 调试信息格式 设置为 无，重新...