zhuhuibeishadiao

1.LLVM安装:Download LLVM releases(用于编译混淆后替换bin) 设置下环境变量: version见lib\clang下的文件夹名set LLVMInstallDir=C:\Program Files\LLVM set LLVMToolsVersion=12.0.0 rem LLVMToolsVersion = name of the last subfolder in the path C:\Program Files\L...

首先枚举驱动的方法很多,这里不做过多介绍,此文仅简单说明x64系统,x86结构和偏移需重新收集.在17134版本中,MI_SYSTEM_IMAGE_STATE结构新增了一个成员 即以下的最后一个成员ImageTree,此树保存驱动LdrSection题外话:MI_SYSTEM_IMAGE_STATE是_MI_SYSTEM_INFORMATION的子结构,_MI_SYSTEM_INFORMATION是nt!MiStatent!_MI_SYSTEM_IMAGE_STATE +0x000 Fi

如果查看堆栈(正常的堆栈回溯)所有线程的入口都是RtlUserThreadStart,真正的流程如下.包括远程线程 这里着重说明应用层，内核层不做具体描述.CreateThread->ntdll!NtCreateThread(Ex)->内核设置上下文->回到被创建线程对应进程上下文ntdll!LdrInitializeThunk->ntdll!LdrpIn...

一个类似ms11-011的漏洞,不过需要pass uac。不是CVE-2019-0708可以实现任意地址读写。termdd.sys(support kb4499175)也就是支持CVE-2019-0708后的补丁.不怎么关注漏洞方面,几年前无意得到的洞.当时用来pass x64驱动签名检验.快拦在硬盘了,不知道属不属于0day,查过相关资料，没有找到，也没有CVE编号....

两个未导出变量 位置在KdSystemDebugControl下本地内核调试需要用到KdSystemDebugControl函数 要动态的内核调试就需要来看看它干了什么PAGE:00000001404D9C00PAGE:00000001404D9C00 mov [rsp+arg_0], rbxPAGE:00000001404D9C05

1：使用!process 0 0 获取用户空间的进程的信息 //这步之前已经给要调试的驱动加载符号了!process 0 02：使用.process /p + 你需要调试的应用程序的EProcess地址，切换到应用程序的地址空间.process /p 0x81a02af03：重新加载user程序的 PDB文件 (需在Windbg里设置好R3的符号和源代码）然后运行（不要在对话框里的

前提：设置好操作系统的符号表SSDT表的查看：kd> x nt!kes*des*table*80553fe0 nt!KeServiceDescriptorTableShadow = 80554020 nt!KeServiceDescriptorTable = kd> dd 8055402080554020 80502b9c 00000000 0000011c 8050301

附看雪某人整理的WinDbg参考手册 v0.6（链接自搜）链接: http://pan.baidu.com/s/1skM5I49 密码: 7bn91.线程2.断点3.查看 d系列4.指针查看 dd系列5.反汇编6.栈7.修改8.进线程命令一：调试开始File->Open Executable 打开一个进程进行调试File->Attach

minidump 和核心dump 的区别在于一个速度快一些 一个慢一些 结果都是一样的(暂定)加载dump文件 File – > Open Crash Dump…设置并加载符号 不多说设置源文件路径 //不是打开源文件 是设置 在设置符号的下面!analyze –vkv/kp/kb.open –a address //根据地址或符号+偏移定位到代码行蓝屏常见原因