【内核篇】Windows内核重要变量

最新推荐文章于 2022-10-24 19:54:52 发布
最新推荐文章于 2022-10-24 19:54:52 发布
阅读量358 收藏 1
点赞数
CC 4.0 BY-SA版权
文章标签: 操作系统 数据结构与算法
原文链接:http://www.cnblogs.com/xuanyuan/p/4165232.html
本文深入探讨了Windows NT内核中几个关键数据结构和系统服务的作用,包括驱动对象链表、进程链表、空闲进程、系统进程、SSDT表、Shadow SSDT表、关机回调链表、驱动二次初始化链表等,以及它们在系统中的角色与功能。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

======================================================

LIST_ENTRY PsLoadedModuleList;

[定  义] wrk\wrk-v1.2\base\ntos\mm\Sysload.c

[初始化] wrk\wrk-v1.2\base\ntos\mm\Sysload.c  [MiInitializeLoadedModuleList()]

[引  用]

l  NtQuerySystemInformation()             查询系统所有内核模块

l  MiReleaseAllMemory()                       释放所有内核模块

l  MiProcessLoaderEntry()                            从全局链表中插入或删除一个模块

[描  述]

内核加载的所有驱动对象链表。链表所连接结构为KLDR_DATA_TABLE_ENTRY。

使用NtQuerySystemInformation()查询系统模块信息和进程信息时内部就是在对这个链表进行遍历。

======================================================

LIST_ENTRY PsActiveProcessHead;

[定  义] wrk\wrk-v1.2\base\ntos\ps\Psinit.c

[初始化] wrk\wrk-v1.2\base\ntos\ps\Psinit.c  [PspInitPhase0()]

[引  用]

l  PsEnumProcesses()                     遍历所有进程

l  PsGetNextProcess()                     获取下一个进程

l  PspCreateProcess()               创建一个新进程插入到链表中

[描  述]

内核所有进程EPROCESS对象链表,所有获取进程列表的函数都是从这里出发遍历的。

该全局变量通过EPROCESS中的ActiveProcessLinks把所有进程链接在一起。

======================================================

PEPROCESS PsIdleProcess;

[定  义] wrk\wrk-v1.2\base\ntos\ps\Psinit.c

[初始化] wrk\wrk-v1.2\base\ntos\ps\Psinit.c  [PspInitPhase0()]

[引  用]

[描  述]

空闲进程的进程对象

======================================================

PEPROCESS PsInitialSystemProcess; //导出

[定  义] wrk\wrk-v1.2\base\ntos\ps\Psinit.c

[初始化] wrk\wrk-v1.2\base\ntos\ps\Psinit.c  [PspInitPhase0()]

[引  用]

[描  述]

系统进程(SYSTEM)的进程对象,被内核导出,驱动程序使用它可以遍历全局进程链表。

======================================================

KSERVICE_TABLE_DESCRIPTOR

KeServiceDescriptorTable[NUMBER_SERVICE_TABLES]; //导出

[定  义] wrk\wrk-v1.2\base\ntos\ke\kernldat.c

[初始化] wrk\wrk-v1.2\base\ntos\ke\keinit.c  [KiSystemStartup ()]

[引  用]

l  KeInitThread()                                     线程初始化使用SSDT表

l  KeAddSystemServiceTable()                     增加系统调用表

[描  述]

著名的SSDT表,包含了Windows NT内核的基本系统服务,供Ring3调用。其中宏NUMBER_SERVICE_TABLES随不同系统不一样。WRK中定义为2。

======================================================

KSERVICE_TABLE_DESCRIPTOR

KeServiceDescriptorTableShadow [NUMBER_SERVICE_TABLES];

[定  义] wrk\wrk-v1.2\base\ntos\ke\kernldat.c

[初始化] wrk\wrk-v1.2\base\ntos\ke\ keinit.c  [KiInitSystem ()]

[引  用]

l  KeAddSystemServiceTable()                     增加系统调用表

l  PsConvertToGuiThread()                    GUI线程使用Shadow表

l  NtQuerySystemInformation()             查询系统调用数量

[描  述]

著名的Shadow SSDT表,包含了Windows NT内核基本服务和Win32子系统内核的基本系统服务,供Ring3调用。其中宏NUMBER_SERVICE_TABLES随不同系统不一样。WRK中定义为2。

======================================================

LIST_ENTRY IopNotifyShutdownQueueHead;

[定  义] wrk\wrk-v1.2\base\ntos\io\iomgr\Iodata.c

[初始化] wrk\wrk-v1.2\base\ntos\io\iomgr\Ioinit.c  [IoInitSystem()]

[引  用]

l  IoRegisterShutdownNotification()           添加关机回调

l  IoUnregisterShutdownNotification()        删除关机回调

l  IoShutdownSystem()                                 遍历链表发送关机消息

[描  述]

关机回调驱动对象链表,使用IoRegisterShutdownNotification()注册的驱动会在这里。链表链接结构为:SHUTDOWN_PACKET

详情查看WRK源码中IoRegisterShutdownNotification()函数实现向该结构添加新的关机回调, IoUnregisterShutdownNotification从该结构中删除回调。在函数IoShutdownSystem()中会遍历这个链表,向它们分别发送IRP_MJ_SHUTDOWN消息。

======================================================

LIST_ENTRY IopNotifyLastChanceShutdownQueueHead;

[定  义] wrk\wrk-v1.2\base\ntos\io\iomgr\Iodata.c

[初始化] wrk\wrk-v1.2\base\ntos\io\iomgr\Ioinit.c  [IoInitSystem()]

[引  用]

l  IoRegisterLastChanceShutdownNotification()      添加关机回调

l  IoUnregisterShutdownNotification()                      删除关机回调

l  IoShutdownSystem()                                               遍历链表发送关机消息

[描  述]

关机回调驱动对象链表,使用IoRegisterLastChanceShutdownNotification()注册的驱动会在这里。链表链接结构为:SHUTDOWN_PACKET

注意和IoRegisterShutdownNotification()不同的是,这里从名字中可以看出LastChance——最后机会,WDK中给出了说明,这里注册的关机回调被调用时所有的文件系统已经关闭了,所以不能执行关于文件IO的相关操作。看WRK也可以印证这一点。

======================================================

LIST_ENTRY IopDriverReinitializeQueueHead;

[定  义] wrk\wrk-v1.2\base\ntos\io\iomgr\Iodata.c

[初始化] wrk\wrk-v1.2\base\ntos\io\iomgr\Ioinit.c  [IoInitSystem()]

[引  用]

l  IopCallDriverReinitializationRoutines()                  调用驱动二次初始化例程

l  IoRegisterDriverReinitialization()                           注册驱动为此初始化例程

[描  述]

驱动二次初始化链表头

======================================================

LIST_ENTRY IopBootDriverReinitializeQueueHead;

[定  义] wrk\wrk-v1.2\base\ntos\io\iomgr\Iodata.c

[初始化] wrk\wrk-v1.2\base\ntos\io\iomgr\Ioinit.c  [IoInitSystem()]

[引  用]

l  IopCallBootDriverReinitializationRoutines()   调用0级驱动二次初始化例程

l  IoRegisterBootDriverReinitialization()            注册0级驱动二次初始化例程

[描  述]

0级驱动二次初始化链表头

======================================================

EX_CALLBACK CmpCallBackVector [CM_MAX_CALLBACKS] = {0};

ULONG CmpCallBackCount = 0;

[定  义] wrk\wrk-v1.2\base\ntos\config\Cmhook.c

[初始化] wrk\wrk-v1.2\base\ntos\config\Cmhook.c  [CmpInitCallback()]

[引  用]

l  CmRegisterCallback                            注册注册表回调

l  CmUnRegisterCallback                       撤销注册表回调

l  CmpCallCallBacks                               调用注册表回调

[描  述]

XP系统上用于保存所有注册表回调的数据结构。驱动程序使用CmRegisterCallback注册的回调函数就保存在这里。通过对该数据结构进行处理将可以增加和删除注册表回调。注意,从Vista开始使用CM_CALLBACK_CONTEXT_BLOCKEX结构,使用CallbackListHead全局变量来保存节点。

======================================================

EX_CALLBACK

PspCreateProcessNotifyRoutine[PSP_MAX_CREATE_PROCESS_NOTIFY];

ULONG PspCreateProcessNotifyRoutineCount;

[定  义] wrk\wrk-v1.2\base\ntos\ps\psp.h

[初始化] wrk\wrk-v1.2\base\ntos\ps\Psinit.c  [PspInitPhase0()]

[引  用]

l  PspCreateThread                                创建第一个线程时调用回调函数

l  PsSetCreateProcessNotifyRoutine     添加或删除进程创建/退出回调

l  PspExitProcess                                    进程退出调用回调函数

[描  述]

驱动程序使用PsSetCreateProcessNotifyRoutine添加和删除进程创建/退出回调函数,用于对进程诞生和消亡事件进行捕获。其添加的回调函数保存在这个全局数组中,WRK中宏PSP_MAX_CREATE_PROCESS_NOTIFY定义为8,最多支持8个回调。

======================================================

EX_CALLBACK

PspCreateThreadNotifyRoutine [PSP_MAX_CREATE_THREAD_NOTIFY];

ULONG PspCreateThreadNotifyRoutineCount;

[定  义] wrk\wrk-v1.2\base\ntos\ps\psp.h

[初始化] wrk\wrk-v1.2\base\ntos\ps\Psinit.c  [PspInitPhase0()]

[引  用]

l  PspCreateThread                                       线程创建时调用回调函数

l  PsSetCreateThreadNotifyRoutine             添加线程创建/退出回调

l  PsRemoveCreateThreadNotifyRoutine     移除线程创建/退出回调

l  PspExitThread                                            线程退出时调用回调函数

[描  述]

驱动程序使用PsSetCreateThreadNotifyRoutine添加和使用PsRemoveCreateThreadNotifyRoutine删除线程创建/退出回调函数,用于对线程诞生和消亡事件进行捕获。其添加的回调函数保存在这个全局数组中,WRK中宏PSP_MAX_CREATE_THREAD_NOTIFY定义为8,最多支持8个回调。

======================================================

EX_CALLBACK

PspLoadImageNotifyRoutine [PSP_MAX_LOAD_IMAGE_NOTIFY];

ULONG PspLoadImageNotifyRoutineCount;

[定  义] wrk\wrk-v1.2\base\ntos\ps\psp.h

[初始化] wrk\wrk-v1.2\base\ntos\ps\Psinit.c  [PspInitPhase0()]

[引  用]

l  PsSetLoadImageNotifyRoutine                 添加模块加载回调

l  PsRemoveLoadImageNotifyRoutine        移除模块加载回调

l  PsCallImageNotifyRoutines                      调用所有模块加载回调

[描  述]

驱动程序使用PsSetLoadImageNotifyRoutine添加和使用PsRemoveLoadImageNotifyRoutine删除模块加载回调函数,用于对模块加载事件进行捕获。其添加的回调函数保存在这个全局数组中,WRK中宏PSP_MAX_LOAD_IMAGE_NOTIFY定义为8,最多支持8个回调。

======================================================

PHANDLE_TABLE PspCidTable;

[定  义] wrk\wrk-v1.2\base\ntos\ps\ Psinit.c

[初始化] wrk\wrk-v1.2\base\ntos\ps\Psinit.c  [PspInitPhase0()]

[引  用]

l  PspCreateThread()                              创建线程插入全局句柄表

l  PspCreateProcess()                             创建进程插入全局句柄表

l  PsLookupThreadByThreadId       ()            查找线程内核对象ETHREAD

l  PsLookupProcessByProcessId()         查找进程内核对象EPROCESS

l  PsLookupProcessThreadByCid()        根据ID同时查进程和线程

l  PspProcessDelete()                                   删除一个进程

l  PspThreadDelete()                              删除一个线程

[描  述]

全局进程内核对象句柄表。PspCidTable是一个句柄表,其格式与普通的句柄表是完全一样的.但它与每个进程私有的句柄表有以下不同: 
1.PspCidTable中存放的对象是系统中所有的进线程对象指针,其索引就是PID和CID 
2.PspCidTable中存放是对象体(指向EPROCESS和ETHREAD),而每个进程私有的句柄表则存放的是对象头(OBJECT_HEADER) 
3.PspCidTable是一个独立的句柄表,而每个进程私有的句柄表以一个双链连接起来

======================================================

LIST_ENTRY HandleTableListHead;

[定  义] wrk\wrk-v1.2\base\ntos\ex\Handle.c

[初始化] wrk\wrk-v1.2\base\ntos\ex\Handle.c  [ExInitializeHandleTablePackage ()]

[引  用]

l  ExCreateHandleTable()                       创建进程时调用创建句柄表链入全局链表头

l  ExDupHandleTable()

l  ExSnapShotHandleTables()

 [描  述]

系统所有进程的句柄表构成一个链表,链表节点为HANDLE_TABLE,而上面的PspCidTable是个例外。

======================================================

PHANDLE_OBJECT ObpKernelHandleTable;

[定  义] wrk\wrk-v1.2\base\ntos\ob\obp.h

[初始化] wrk\wrk-v1.2\base\ntos\ob\obinit.c  [ObInitSystem ()]

[引  用]

l  ObpCloseHandle()                              关闭句柄(内核句柄)

l  ObpCreateHandle()                                   创建句柄(内核句柄)

l  ObpCreateUnnamedHandle()            创建匿名句柄(内核句柄)

l  ObSetHandleAttributes()                   设置句柄属性(内核句柄)

l  ObReferenceObjectByHandle()          通过句柄引用对象(内核句柄)

[描  述]

系统进程System的句柄表,也是内核全局句柄表。内核驱动程序所打开的句柄都存储在这里。内核句柄最高位为1。

======================================================

CCHAR KeNumberProcessors; //导出

[定  义] wrk\wrk-v1.2\base\ntos\ke\kernldat.c

[初始化] wrk\wrk-v1.2\base\ntos\ke\newsysbg.c  [KiSystemStartup ()]

[引  用]

[描  述]

处理器数量

======================================================

PKPRCB KiProcessorBlock[MAXIMUM_PROCESSORS];

[定  义] wrk\wrk-v1.2\base\ntos\ke\kernldat.c

[初始化] wrk\wrk-v1.2\base\ntos\ex\obinit.c  [KiSystemStartup ()]

[引  用]

l  KiSwapThread()                                   线程调度

l  KiSetAffinityThread()                          设置线程亲和性

[描  述]

系统核心数据结构,与线程调度密切相关。所有KPRCB的指针数组,往前拨偏移可以得到对应KPCR。MAXIMUM_PROCESSORS定义为32。而实际数组的元素个数由上面KeNumberProcessors决定,每个处理器对应一个KPRCB结构体。

======================================================

ULONG_PTR KiSystemSharedData =KI_USER_SHARED_DATA;

[定  义] wrk\wrk-v1.2\base\ntos\ke\kernldat.c

[初始化] wrk\wrk-v1.2\base\ntos\ke\ kernldat.c

[引  用]

[描  述]

常量指针,指向Ring0与Ring3共享的一个页面地址,宏KI_USER_SHARED_DATA定义为:0xFFDF0000,即内核态地址,用户态地址为:0x7FFE0000。该页面存储的数据结构是:KUSER_SHARED_DATA。

======================================================

PVOID KeUserExceptionDispatcher;

[定  义] wrk\wrk-v1.2\base\ntos\ke\kernldat.c

[初始化] wrk\wrk-v1.2\base\ntos\ps\kulookup.c  [PspLookupKernelUserEntryPoints ()]

[引  用]

l  KiDispatchException()                        异常分发

[描  述]

函数指针,指向了用户模式异常处理入口:位于ntdll.dll中的KiUserExceptionDispatcher函数。用于系统在进行异常分发过程中向用户态分发异常。

 

 

To be update…

 

轩辕之风http://www.cnblogs.com/xuanyuan/

转载于:https://www.cnblogs.com/xuanyuan/p/4165232.html

Windows核心编程 --进程环境变量
delongwang520的博客
01-27 665
进程一般可定义为:一个内核对象,操作系统用它来管理进程;一个地址空间,包含dll、exe以及动态分配的内存。 GetModuleHandle(PCTSTR pszModule)函数可以知道一个可执行文件或者DLL被加载到进程地址空间的什么位置,pszModule字符串需要以0为终止符,该参数指定了已在主调进程的地址空间中加载的一个可执行文件或DLL文件的名称,如果找到,返回基地址,没有找到的话返
进程的创建过程——PspCreateProcess逆向
weixin_45678798的博客
07-30 796
创建一个进程是通过NtCreateProcess开始执行的,它通过简单的对参数处理把任务交付给NtCreateProcessEx,然后NtCreateProcessEx检查ProcessHandle句柄是否可写,把真正的创建任务交给PspCreateProcess,所以PspCreateProcess才是真正的创建进程的函数。...
[Windows内核源码分析2] 引导过程(进程线程管理器初始化在Phase0部分的分析)
輚至消亡
10-07 567
的整个流程, 刚开始都是一些初始化工作, 这些工作中需要提一嘴的是对进程线程以及模块加载卸载监控的回调的初始化,熟悉反游戏外挂的人肯定对这几个接口非常熟悉。来创造一个进程句柄表, 即CID句柄表。由于这个函数会使得该表位于之前创建的全局内核句柄表链表上, 而这个CID表示属于进程拥有的。本文章记录分析进程线程管理器在windows系统引导的阶段0中的初始化工作。主要是PsInitSystem函数。接下去初始化了一个工作队列中PsReaperWorkItem类型的回调函数。把该表从全局内核句柄表链表上摘除。
驱动开发:内核无痕隐藏自身分析
热门推荐
CSDN
10-24 2万+
在笔者前面有一文章通过摘除驱动的链表实现了断链隐藏自身的目的,但此方法恢复时会触发PG会蓝屏,偶然间在网上找到了一个作者介绍的一种方法,觉得有必要详细分析一下他是如何实现的进程隐藏的,总体来说作者的思路是最终寻找到的入口地址,该函数的作用是将驱动信息加入链表和移除链表,运用这个函数即可动态处理驱动的添加和移除问题。那么如何找到函数入口地址就是下一步的目标,寻找入口可以总结为;搜索可定位到地址。搜索定位到即得到了我们想要的。根据前面枚举系列文章,定位这段特征很容易实现,如下是一段参考代码。
驱动简单隐藏
qq_41490873的博客
08-26 1313
此方法可以过一般的ark工具,缺点是不能卸载,如果要卸载的话,需要自己把修改的数据保存号,在卸载的时候恢复。 typedef VOID (*MIPROCESSLOADERENTRY)( IN PVOID DataTableEntry, IN LOGICAL Insert ); //需要使用特征码搜索找出这个函数的地址 MIPROCESSLOADERENTRY MiProcessLoadEntry; VOID ThreadProc(PVOID Context) { PDRIVER_OBJECT Drive
Windows内核驱动EPROCESS遍历进程模块
12-14
Windows操作系统中,内核驱动程序是运行在操作系统核心层的代码,它们具有高级权限,...通过学习和实践这一主题,开发者可以增强对Windows内核的掌控能力,从而在系统调试、性能优化、安全审计等领域发挥重要作用。
火哥6期windows内核学习笔记
最新发布
10-18
通过这份笔记,读者可以系统地掌握Windows内核环境下的高级调试技术,包括保护模式的深入理解、windbg工具的使用以及内核级权限控制等重要知识点。对于有志于深入了解Windows内核工作原理的开发者,这份笔记无疑是一...
5.1.2600_WindowsXP内核结构_vim_
09-29
Windows XP是微软公司推出的一款经典操作系统,其内核结构复杂而精妙,对于理解操作系统原理和进行系统级编程至关重要。在这个过程中,VIM编辑器作为一个强大的文本编辑工具,常常被用来查看和编辑相关的系统文件,...
特权提升技术总结之Windows文件服务内核 - 先知社区1
08-03
Windows文件服务内核】在Windows系统中,文件服务内核操作系统的核心部分,负责处理文件操作和管理文件系统。攻击者可能会寻找内核层面上的漏洞,通过恶意代码注入或利用文件服务的不当配置实现特权提升。例如...
sysfs文件接口修改内核模块变量值-fasync源码
07-11
这个例了同时也展示了sysfs文件系统在驱动程序中的用法,以及通过Linux设各模型来创建设备节点及其他一些特性(这个看起来很简单的内核模块其实体现了设备驱动程序中一些比较重要且典型的特征)。 首先是设备驱动程序...
HideDriver_hidedriver_TP_驱动隐藏_驱动断链隐藏_隐藏驱动
09-11
驱动隐藏 断链隐藏驱动及驱动注册回调,可过TP双击调试
驱动保护隐藏.ec
08-08
易语言辅助必备驱动保护模块 代码公开 透明 绝无暗装之类 ------------------------------ .版本 2 .子程序 关闭保护辅助进程, 逻辑型, 公开, 取消禁止结束并保护程序 .参数 进程ID, 整数型, 可空, 可空,默认取消自身,可用的进程_名取ID()获取进程ID, .子程序 关闭防各类调试, 逻辑型, 公开, 取消结束并保护程序 .参数 进程ID, 整数型, 可空, 可空,默认取消自身,可用的进程_名取ID()获取进程ID, .子程序 开启保护辅助进程, 逻辑型, 公开, 可禁止他人有意结束某程序,并保护程序不被注入,打开程序,支持所有系统,32,WIN764位都可以 .参数 进程ID, 整数型, 可空, 可空,默认保护自身,可用的进程_名取ID()获取进程ID, .子程序 开启防各类调试, 逻辑型, 公开, 可禁止他人有意,用CE,VE,ME,GE,内存工具和WPE等程序,打开程序,支持所有系统,32,WIN764位都可以 .参数 进程ID, 整数型, 可空, 可空,默认保护自身,可用的进程_名取ID()获取进程ID, .子程序 隐藏模块, 逻辑型, 公开, 隐藏模块 (GetModuleHandle (“隐藏.dll”)) .参数 模块基地址, 整数型 .子程序 郁金香取消隐藏进程, 逻辑型, 公开, 取消隐藏进程 暂时无法取消隐藏 .参数 进程ID, 整数型, 可空, 可空,默认取消自身,可用进程_名取ID()获取进程ID, .子程序 郁金香隐藏进程, 逻辑型, 公开, 隐藏进程,,支持32位,和64位WIn7,所有系统请自行测试 .参数 进程ID, 整数型, 可空, 可空,默认隐藏自身,可用进程_名取ID()获取进程ID, .子程序 置格盘陷阱, 逻辑型, 公开 .子程序 置蓝屏陷阱, 逻辑型, 公开, 利用蓝屏代码 绝对值蓝屏 .子程序 置死机陷阱, 逻辑型, 公开 .子程序 置重启陷阱, 逻辑型, 公开, 绝对值重启 .DLL命令 GetModuleHandle, 整数型, "kernel32", "GetModuleHandleA", 公开 .参数 lpModuleName, 文本型 .DLL命令 RtlMoveMemory, 整数型, , "RtlMoveMemory", 公开, _写内存3 .参数 dest, 整数型, 传址 .参数 Source, 整数型 .参数 len, 整数型, , 4
R3暴力枚举驱动
03-31
易语言ring3下暴力枚举驱动的例子。任何驱动都可枚举出来。
内核驱动隐藏【绕过PatchGuard】
WorryFree
05-17 3164
内核驱动隐藏【绕过PatchGuard】 心血来潮~测试隐藏驱动还不触发PG,看看有探讨的同学不~
应用程序如何使用驱动程序
Go Forward Forever!
02-13 1376
一段写的比较好的文章,收藏用,不知道怎么用的可以看看,也可以学习下调试的一些用法 应用程序如何使用驱动 应用程序中使用 CreateFile,ReadFile,WriteFile,DeviceIoControl,CloseHandle 来指示驱动程序完成某种任务。比如我们在应用程序中使用 ReadFile 来让驱动读取硬件设备,我们在应用程序中使用 WriteFile 来让驱动写硬件设
关于进程间的访问权限等进程间控制资料收集
tomorrowsprogress的专栏
01-05 976
http://www.vckbase.com/DUPLICATEHANDLE函数可以实现将同步内核对象被拷贝并且将原内核对象关闭, 从而达到可以自由控制内核对象的目的, 这可以实现使得只能单一启用的进程成为多启用的进程的目的。实现方法:只要用钩子WH_GETMESSAGE挂钩并实现如下代码即可LRESULT HookProc(int code, WPARAM wParam, LPA
反向进程注入及隐藏--动手做一个最简单的PELoader
mergerly的专栏
01-19 1738
<br />反向进程注入及隐藏--动手做一个最简单的PELoader原始出处:xfocus.net<br />信息来源:邪恶八进制信息安全团队(www.eviloctal.com)<br />文章作者:Luke ([email protected])<br />创建时间:2007-07-27<br /><br />一.废话<br />最近因为公司的项目需要,顺带的学习了一点和PELoader相关的东西,恰见网上正在沸沸扬扬的谈论虚拟脱壳。本人不才,实在是没能力也没精力去写一个真正意义上的虚拟机,因此尝试
进程线程创建过程
hambaga的博客
03-10 1968
一、进程创建过程 所有进程都通过 PspCreateProcess 函数创建,包括 System 进程。它被三个函数调用,分别是NtCreateProcessEx、PsCreateSystemProcess 和 PspInitPhase0 。 NtCreateProcessEx 是 CreateProcess 的内核服务; PspInitPhase0 函数是系统初始化早期调用的,它创建了 System 进程,System 进程的句柄保存在全局变量 PspInitialSystemProcessHandle
关于驱动隐藏那点事(不触发PG 支持win10)
zhuhuibeishadiao
07-21 2万+
已开源:https://github.com/ZhuHuiBeiShaDiao/NewHideDriverEx 更新:支持seh,原理自己逆下 将seh挂到其它模块上而已. 看网上用此方法隐藏用的挺嗨啊,麻烦打个出处,谢谢了. 没必要藏着,人生没有必要为这些小玩意小打小闹。 看到某些哥们这搞搞那搞搞,BSOD PATCHGUARD 无语,WRK是个好东西啊! 还有半年来也没怎么发博客,惭...
深入探索:Windows NT内核解析
"这文档是关于Windows内核的深度分析,特别关注了系统组件、内存格局以及关键模块的介绍,适合对操作系统内核有深入兴趣的开发者和研究人员学习。" 在Windows内核的世界里,理解其工作原理对于任何希望在Windows...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值