Windows
关注
分享
扫一扫
记录Windows系统的各种知识
fa1c4
软件安全研究生, 不定期灌水博主(
展开
-
[IDAPython] no module name ‘yara‘
IDA python 缺失 xxx库 解决原创 2022-10-11 13:31:19 · 1420 阅读 · 0 评论 -
[Windows 8] disable ASLR
disable ASLR on Win8原创 2022-07-18 12:44:41 · 377 阅读 · 0 评论 -
[Windows] CVE-2011-2005 Afd.sys 本地提权漏洞复现
前言这是一个微软在2011.10发布的补丁中提到的系统辅助驱动程序Afd.sys存在的本地提权漏洞, 影响到Windows XP, 和Windows Server 2003系统. 漏洞成因是Microsoft Windows Ancillary Function Driver(afd.sys)驱动程序没有完善检测用户提交的数据, 攻击者可以利用该漏洞执行任意代码.漏洞分析漏洞利用总结...原创 2022-01-26 14:46:42 · 3517 阅读 · 0 评论 -
[Windows]内核调试环境搭建
前言为了探索windows kernel fuzz, 从去年开始先是学了windows逆向基础, 然后花了9个月从零开始大致学了一遍linux pwn的各种漏洞利用技术(windows pwn还没怎么学, 不过原理基本差不多, 需要的技术需要的时候再现学叭), 最近看了一点windows驱动开发的技术栈(虽然也没怎么看懂), 现在可以开始研究研究windows内核的漏洞利用技术了, 同样从零开始, 这篇blog简单介绍windows内核调试环境的搭建.环境搭建如果参考0day书中的环境搭建方法, 过程原创 2022-01-20 14:48:41 · 828 阅读 · 0 评论 -
Windows内核会话机制
Windows内核在6.0版本后增加了会话管理机制, 注意5.x之前的版本是没有的. 贴个内核版本截图(wiki)内核在6.0以后就是vista, Win7时代开始有的会话机制.会话(session), 指登陆后的用户环境, 多个用户登录时, 就给每个用户提供一个独立的环境. 远程桌面链接也是一个用户登陆, 有独立的环境.Windows XP系统的第一个登陆的用户会话ID是0, 而Windows 7第一个登陆的用户ID是1, 系统会话都是0. 所以Win7下用户会话不是系统会话, 由此出现XP中能原创 2021-03-20 15:44:16 · 390 阅读 · 0 评论 -
WOW64机制
WOW64: Windows On Windows64是一种在64位OS中支持运行的32位应用程序的机制.64位Windows中, 64位应用程序会加载64位的kernel32.dll, ntdll.dll, 32位应用程序会加载32位的kernel32.dll, ntdll.dll. WOW64则会将32位的dll文件的API请求重定向到64位的dll文件.注意内核模式都是64位的, 32位是通过WOW64转换到64位运行....原创 2021-03-19 11:09:55 · 531 阅读 · 0 评论 -
API钩取之代码修改原理
之前学习了IAT钩取技术, 现在总结代码修改方式进行API钩取的原理(ReverseCore33章).先看看钩取之前的正常流程call 函数调用ntdll中的一个函数(函数名很长不用记, 把它当成一个抽象函数即可)执行完之后就是retn 10返回调用位置的下一条指令接下来看看修改代码之后的执行流程流程很复杂, 其实理解之后就很简单了(丘成桐说过, 只要理解之后就会发现所有数学都是简单的书中严谨的表述因为使用了很长的函数名称, 所以看起来比较复杂, 跟着流程脑内模拟一遍, 就发现其实很直白. 现原创 2021-03-13 17:11:01 · 325 阅读 · 0 评论 -
PE文件绑定导入表
BOUND IMPORT TABLE 绑定导入表是一种提高DLL加载速度的技术.对于PE文件而言是可选项, 不是必须. 当修改PE文件时, 如果添加导入的DLL文件, 需要注意有没有绑定导入表, 如果有需要删除或修改绑定导入表, 否则会运行时出错.PEview查看绑定导入表Winhex查看相应位置...原创 2021-03-08 12:34:44 · 301 阅读 · 0 评论 -
Windows10录屏存放位置设置
一般默认是C盘, 但是不爽, 所以要换到别的盘我的电脑, 左侧目录打开捕获文件夹, 右键移动到其他盘即可.原创 2021-03-06 18:23:54 · 2191 阅读 · 0 评论 -
Windows消息钩取
机制Windows操作系统提供GUI(Graphic User Interface), 以事件驱动方式工作. 而所有外设的输入都是事件, 发生事件时, OS会把事先预定的消息发送给应用程序, 应用程序分析接收的消息然后执行相应动作.(比如我在用输入法打字, 按下键盘的时候Windows会给输入法应用程序发送消息, 输入法接收消息并分析之后给出打字的结果). 而钩子hook就在键盘输入与消息发送到应用程序的过程中起作用, 可以查看, 拦截, 修改消息.最基本的钩子实现就是调用Windows系统提供的AP原创 2021-03-05 21:15:20 · 194 阅读 · 0 评论 -
压缩器和保护器
压缩器PE压缩器特指运行时压缩器目的缩减PE文件大小隐藏PE文件内部代码和资源用途实用程序"打补丁"文件普通程序种类目的纯粹: UPX, ASPack目的不纯: Upack, PESpin, NSAnti保护器在压缩的基础上添加了各种反逆向技术, 比如反调试, 反模拟, 代码混淆, 多态代码, 垃圾代码, 调试器监视.目的防破解保护代码和资源用途游戏恶意代码种类商用公用恶意代码专用...原创 2021-03-04 11:00:04 · 122 阅读 · 1 评论 -
PE文件格式
PE文件是Windows系统下的可执行文件格式, 是在COFF(Common Object File Format, 通用对象文件格式)基础上制作, 目的是提高不同操作系统下的移植性, 不过最后只是用在Windows系列的系统中.PE特指PE32, 32位可执行文件, 不包括PE64(也不存在PE64这种说法), 64位是PE+或称为PE32+.分类种类主扩展名可执行系列EXE, SCR库系列DLL, OCX, CPL, DRV驱动程序系列SYS, VXD对原创 2021-03-03 22:23:01 · 315 阅读 · 0 评论 -
windows环境变量修改后需不需要重启
原理要理解的是,一个程序启动时,环境变量被复制到该程序所在的环境中,在该程序执行过程中不会被除该程序以外的其他程序所改变。也就是说,假设我们启动了一个cmd程序,然后通过控制面板修改了环境变量设置,但是已经启动了的cmd所拥有的环境变量并不会被改变。如果我们在修改环境变量之后启动cmd程序,则该程序将拥有新的环境变量。结论修改环境变量之后,如果受影响的是应用程序,那么只要简单地重新启动此应用程序,而不必重新启动计算机;但是,如果受影响的是系统服务,就必须重新启动才能将环境变量的修改反映到系统服务中.原创 2021-02-26 22:37:40 · 6336 阅读 · 1 评论