- 博客(15)
- 收藏
- 关注
RSS订阅原创 Windows内核学习实验笔记(二)Win10 x32 系统调用内核态分析(2)SSDT表
1.根据调用号,在SSDT中定位到真正的内核函数,并且在IDA中定位到指定函数2.通过SSDT Hook 保护进程不被R3终结。
2025-09-19 17:45:47
832
原创 Windows内核学习实验笔记(二)Win10 x32 系统调用内核态分析(1)_KiSystemService函数
当一个程序调用WindowsApi WriteProcessMemory时:WriteProcessMemory R3->R0调用过程通过windbg查看GDT中的描述符,可知R0 调用过程Win10会通过新cpu的快速调用 sysenter 或者 老cpu的传统中断门 int 0x2e来进行系统调用实现R3 权限 转化置R0 权限,我们通过对 Windows\System32\ntoskrnl.exe 逆向分析函数TEB。
2025-09-17 17:47:09
410
原创 Windows内核学习实验笔记(一)-- 段机制(2)-- 其他门
查看TR寄存器,存放的选择子根据选择子,从GDT中查找TSS段描述符(任务门描述符)计算TSS BaseAddress,查看TSS结构体。
2025-08-20 12:23:19
270
原创 Windows内核学习实验笔记(一)-- 段机制(2)-- 调用门
第二种,call fword ptr [buffer],buffer 是6字节,cs + eip,这里cs = 0x0080,eip = 0x00000000。使用ollydbg调试一个x32程序,构造段选择子0x83 (index = 16 TI=0 RPL=3),执行远跳转正常。进入内核态后,eip为我们设置的eip,ss,esp切换到了内核栈,cs = 8,代码段为内核代码段,提权成功。SegmentSelector = 0x0008,调用门要调用的代码段为内核态代码段GDT[1]
2025-08-15 17:35:41
726
原创 Windows内核学习实验笔记(一)-- 段机制(1)-- 初识段描述符
从实验一中,GDT表中找到index = 5的表项:00cff300`0000ffff。使用Windbg双机调试 Windows10 x64,Break断下系统,输入命令。使用x64dbg打开我们写的一个测试程序,查看段寄存器,这就是段选择子。继续分析CS = 0x33,index = 4,这里就挑重点字段讲述。我们以ES为例:找到ES段描述符,首先分析段选择子。方法一:使用mov的方式尝试修改es = cs。方法二:使用les修改es = 0x23。指令执行后eax = 0x23,es不变。
2025-08-10 20:30:04
273
原创 2024 Ciscn长城杯铁人三项 逆向题ezCsky(思路题)
作者也是看别人做法,带入到他们的想法里,还原当时结题的过程,只能说这题目看你会不会灵光一现了,有500多个队伍想出来说明咱们打比赛的师傅们都是大牛啊,要么就是会motorola逆向,要么就是有丰富的想象力,还有什么其他的办法呢...我想不出来嘻嘻,我只是一条咸鱼罢了。Motorola RCE架构,对我这种小白来说这种架构听都没听过,但是还是要尝试分析一下的,多次尝试发现ida arm可以打开此程序,发现关键点。此题正常的做法应该是逆向motorola架构,但是可以通过fuzz,也就是猜测加密算法破解出来。
2024-12-25 09:18:07
1194
3
原创 2024 Ciscn长城杯铁人三项 逆向题Cython
关键点位于ez.encrypt()和ez.check() ,而这两个函数存在于ez.cp311-win_amd64.pyd中,这也是本题的难点。,我们输入伪flag(长度24):012345678901234567890123,观察内存结构,可以找到下面关键点。接着分析,这里i+=0x54646454,所以说这是delta,后面汇总整个加密过程可以很明显发现。汇总一下可以得到,是不是感觉像一位故人(xtea加密),但是数值貌似不太对,别急继续往下分析。分析ez.check()函数可以得到加密后的数组。
2024-12-19 18:10:50
2108
4
原创 Windows内核学习------双机调试的安装(物理机win10,虚拟机win7,虚拟机软件vmware)
windows内核学习笔记-----双机调试的环境安装
2022-05-01 21:57:38
4068
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人