win32
关注
分享
扫一扫
文章平均质量分 78
PKwok
这个作者很懒,什么都没留下…
展开
-
NT主要内核结构 windows 2000
虽然时常看到有新手询问各OS版本_EPROCESS _ETHREAD之类的结构.但本文的目的却绝对不是告诉你这些结构到底是怎样的.也不会介绍如何获得.实在是太白痴的问题.自己随便百度下”VM Windbg 双机调试”之类,然后Kd>dt nt!_*就好. 实际是为了速查跟备忘,自己常遇到为了查一个偏移需要装一个系统的郁闷事件.Baidu不到也google不到的. W原创 2007-11-19 20:23:00 · 586 阅读 · 0 评论 -
NT主要内核结构 windows XP
虽然时常看到有新手询问各OS版本_EPROCESS _ETHREAD之类的结构.但本文的目的却绝对不是告诉你这些结构到底是怎样的.也不会介绍如何获得.实在是太白痴的问题.自己随便百度下”VM Windbg 双机调试”之类,然后Kd>dt nt!_*就好. 实际是为了速查跟备忘,自己常遇到为了查一个偏移需要装一个系统的郁闷事件.Baidu不到也google不到的. W原创 2007-11-19 20:38:00 · 671 阅读 · 0 评论 -
NT主要内核结构 windows 2003
虽然时常看到有新手询问各OS版本_EPROCESS _ETHREAD之类的结构.但本文的目的却绝对不是告诉你这些结构到底是怎样的.也不会介绍如何获得.实在是太白痴的问题.自己随便百度下”VM Windbg 双机调试”之类,然后Kd>dt nt!_*就好. 实际是为了速查跟备忘,自己常遇到为了查一个偏移需要装一个系统的郁闷事件.Baidu不到也google不到的. W原创 2007-11-19 20:50:00 · 709 阅读 · 0 评论 -
NT主要内核结构 windows vista
虽然时常看到有新手询问各OS版本_EPROCESS _ETHREAD之类的结构.但本文的目的却绝对不是告诉你这些结构到底是怎样的.也不会介绍如何获得.实在是太白痴的问题.自己随便百度下”VM Windbg 双机调试”之类,然后Kd>dt nt!_*就好. 实际是为了速查跟备忘,自己常遇到为了查一个偏移需要装一个系统的郁闷事件.Baidu不到也google不到的. W原创 2007-11-19 21:07:00 · 904 阅读 · 0 评论 -
Windows Vista 下挂钩NSI模块隐藏端口
作者:cardmagic原文链接:http://www.rootkit.com/newsread.php?newsid=735Windows Vista 的网络模块较从前发生了很大变化,从而导致很多旧的端口隐藏工具无法使用.本文将介绍一种简单的在Vista下隐藏端口的方法,希望对大家有所帮助.事实上在Vista下netstat.exe调用Iphlpapi.dll导出的Interna翻译 2007-11-19 22:25:00 · 3571 阅读 · 0 评论 -
利用INT 2DH 反调试
取材于rootkit.com的一篇文章,因为简单就不按照原文严格翻译了。原文链接http://rootkit.com/newsread.php?newsid=669第2dh号中断处理函数是KiDebugService,执行Int 2dh指令时,进程如果没有处于被调试状态,将会抛出异常,如果在被调试状态则能够正常执行。我们可以利用这一点检测调试器的存在。;原创 2007-11-30 08:43:00 · 1519 阅读 · 0 评论 -
SEH不能捕获异常
异常处理真的是个好复杂的东西,网上有不少牛文,大家参考,这里只说其中的一点,关于SHE不工作的问题及如何解决的一点思路。 这个故事是发生在内核,驱动A开始工作的很好,后来老大说改成由驱动B模拟系统加载驱动B吧。也就是自己完成PE文件映射,重定位处理,导入表处理等等。改完后唯一的问题就是,SHE不工作了。__try<img id="_6_42_Ope原创 2007-12-06 22:09:00 · 1327 阅读 · 0 评论