wowbell的专栏

今天的随笔写点如何用内核调试器“手工”分析句柄表，小儿科的伎俩~结合 Russinovich 的工具 Handle 正好可以验证我手工分析的正确性平台是 Win-XP SP2高手权当消遣~因为我也就是当消遣才写的// 拿进程 SYSTEM 开刀 // Handle v3.2 Copyright (C) 1997-2006 Mark Russinovich Sysinternals - www.sysinternals.com---------------------------------------

<br />上次说了一点关于Windows 2000句柄表的东西，继续说关于XP的。<br /><br /> XP的句柄表格式与2000的完全不同。《Windows Internal》里面只是简单的说了一下关<br /> 于Windows XP/2003和2000的差异，在于开始的时候只分配最底层的句柄表，上面两层的<br /> 句柄表只在需要的时候才分配。而且最底层的句柄表和上两层的大小都不在是限制为256<br /> 项，而是根据内存分页的大小来分配——每一级表都是一页大。<br /><br /

<br />内核注入，技术古老但很实用。现在部分RK趋向无进程,玩的是SYS+DLL，有的无文件，全部存在于内存中。可能有部分人会说：“都进内核了.什么不能 干？”。是啊，要是内核中可以做包括R3上所有能做的事，软件开发商们也没必要做应用程序了。有时，我们确实需要R3程序去干驱动做起来很困难或者没必要 驱动中去做的事，进程 / DLL是不错的选择，但进程目标太大，所以更多的同学趋向于注DLL。<br /><br /> 若要开发安全软件、小型工具，可借鉴其思路，Anti Rootkits时