- 博客(5)
- 资源 (8)
- 收藏
- 关注
RSS订阅原创 《windows核心编程》笔记——内核对象
1. 内核对象包括:访问令牌(access token)、事件、文件、文件映射、I/O完成端口、作业、邮件槽、互斥量、管道、进程、线程、信号量、可等待的计时器、线程池工厂2.既然是内核对象,当然是只要内核能访问,那么进程想要访问咋办呢~答案就是句柄。每个进程在初始化时,系统都会为它分配一个句柄表,里面记录了可以访问对应内核对象的指针,这样只要进程访问句柄,那么从应用层切到内核时,访问的就是对应的内核对象啦3.跨进程共享内核对象的方法:1)继承对象句柄:父进程创建子进程时,设置继承关系,那么子进程
2020-07-11 17:33:37
441
原创 《windows核心编程》笔记——GetLastError
最近想通过仔细阅读《windows核心编程》这本书,来查漏补缺自己的知识点,所以对于我平时已经掌握的知识点,即使很重要,我也可能不会特意记录啦...let's go~我们在使用windows api时,通常都需要判断返回值,有时失败了希望可以知道具体的错误原因,所以getlasterror大家肯定都知道,这里我要提两点1. vs可以在监视窗口中输入 $err,hr,即可显示错误码对应的具体含义,方便调试;2. 代码里需要输出错误日志,可以使用FormatMessage格式化错误码(dwError
2020-07-11 16:36:30
342
转载 转载mark-反调试技术
这里分析的是6月18号的版本,由于某些原因这里隐去敏感内容目前静态分析跟踪到7个系统线程创建,线程创建过程如下:先判断hv是否存在如果hv不存在则搜索SeSetAuditParameter中的FF E1特征码根据如果成功搜索到上述fake thread entry则把线程入口指向上述entry,线程参数指向原真实线程入口(也就是rcx=真实线程入口,并且jmp rcx)然后调用pscreatesysthrd创建系统线程目前分析到的7个线程分别是:...
2020-06-30 09:20:15
658
原创 ubuntu18.04 + Cuckoo v2.0.7搭建过程
操作系统:Ubuntu18.04 TLS虚拟机:virtualbox + win7_64镜像更换源自带的源不太稳定,所以更换为国内的源,如阿里源。操作如下:$ sudo gedit /etc/apt/sources.list直接替换即可,百度即可找到很多相关博文。当然,最好将原文件做一个备份。删除缓存:$ sudo rm -vfr /var/lib/apt/lists/*更新:$ apt-get update$ apt-get upgrade安装基本的依赖包$ sudo apt-get
2020-06-10 14:14:03
1078
SpecterOps_Subverting_Trust_in_Windows.pdf
2020-07-01
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人