OSReact的专栏

最近调了instruder发的0day漏洞：http://www.exploit-db.com/exploits/18140/把调试分析的情况写在这里。水平有限，让大家见笑了， 欢迎批评指正。dump文件的分析结果如下:EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - "0x%08lx"FAULTING_IP: win32k!ReadLay

Intel vt技术十分诱人，但是如何调试vt程式却是让人头疼，让钱包心痛的问题，在走了各种弯路后，终于摸索出一套简单易懂又省钱的vt调试方法。如果你有比我更好的方法请第一个告诉我哟！！！准备工作：首先你需要安装以下程式：1. vmware(版本6.0-7.1)2. ida(不一定用得到)3. windbg(也不一定用得到)4. 自行编译一份带vt的bochs(版本2.

不多说了WIN8预览版还是挺慢的，也许是我机器太差劲了，呵呵，SSTD对比WIN7SP0多了不少。<img title="名称: 1.jpg查看次数: 669文件大小: 84.7 KB" alt="名称: 1.jpg查看次数: 669文件大小: 84.7 KB" src="http://bbs.pediy.com/attachment.php?attachmentid=

标 题: 【转载】Windows内存隐藏技术初探作 者: NetRoc时 间: 2007-12-17,11:30:41 NetRoc/cc682    最早看到Shadow Walker这种隐藏内存数据的技术的时间忘了，呵呵。大约是一年多或者两年以前吧。当时还只是提出了理论性的东西，没有人实现出来。前段时间搞NP玩的时候，对Themida和虚拟机深恶

内核中的数据结构：Splay Tree    Splay Tree(伸展树)是Binary Search Tree(二叉搜索树)， Daniel Sleator和Robert E.Tarjan发明。但此操作可能会花费O(n)时间，但m次操作的最坏情况为O(m*log2(n))。Splay Tree是在节点访问后，此节点将成为该树的根。如此节点位置深，则根到该节点路径上会有很多较深节

昨天写了一个类似SC查询驱动服务的信息的程序，发现获取到的路径ImagePath是\??\c:\xxxxx，导致我用CreateFile什么的函数，居然失败！就比较好奇windows是怎么处理驱动服务一类的路径处理。我知道windows是在注册表中记录的启动服务信息，直接用注册表打开查看如下：<img title="名称: reg.JPG查看次数: 311文件大小: 58.7 KB

I/O堆栈 　　任何内核模式程序在创建一个IRP时，同时还创建了一个与之关联的 IO_STACK_LOCATION 结构数组：数组中的每个堆栈单元都对应一个将处理该IRP的驱动程序，另外还有一个堆栈单元供IRP的创建者使用(见图5-3)。堆栈单元中包含该IRP的类型代码和参数信息以及完成函数的地址。下图显示了堆栈单元的结构。I/O堆栈单元数据结构：MajorFu