原文发表于百度空间,2008-7-23 ========================================================================== 学内核从基本数据结构开始吧,就像学C语言时从学习int,char开始一样．只列出目前见到和用到的,其它后面再补充- 常用数据结构: 数字:lkd> dt _ULARGE_INTEGERntdll!_ULARGE_INTEGER   +0x000 LowPart          : Uint4B   +0x0…

原文发表于百度空间,2008-7-24========================================================================== 线程是进程的实际存在,每个进程中至少会有一个线程．线程相关的数据结构比较多,一个一个看．首先是ETHREAD:lkd> dt _ETHREADnt!_ETHREAD   +0x000 Tcb              : _KTHREAD       //线程控制块   +0x1c0 CreateTime   …

原文发表于百度空间,2008-7-24========================================================================== 进程的相关结构非常重要,重点学习-有一些内容参考自:http://dev.csdn.net/article/20/20210.shtm 进程结构中,首推EPROCESS,标记一些重要成员(可能不全):lkd> dt _EPROCESSnt!_EPROCESS   +0x000 Pcb             …

原文发表于百度空间,2008-7-24========================================================================== 这些是驱动中相关的数据结构． 驱动对象,由I/O管理器创建,用于管理设备(Device):lkd> dt _DRIVER_OBJECTntdll!_DRIVER_OBJECT   +0x000 Type             : Int2B                                   …

原文发表于百度空间,2008-7-23========================================================================== 继续学习,继续补充... 事件:lkd> dt _KEVENTntdll!_KEVENT   +0x000 Header           : _DISPATCHER_HEADER 信号量:lkd> dt _KSEMAPHOREntdll!_KSEMAPHORE   +0x000 Header       …

驱动对象: 每个驱动程序都会有唯一的驱动对象与之对应,并且这个驱动对象是在驱动加载时被内核中的对象管理程序所创建的.驱动对象用DRIVER_OBJECT数据结构表示,它作为驱动的一个实例被内核加载,并且内核对一个驱动只加载一个实例.确切地说,是由内核中的I/O管理器负责加载的,驱动程序需要在DriverEntry中初始化.驱动对象的结构定义如下(wdm.h): typedef struct _DRIVER_OBJECT { //结构的类型和大小 CSHORT Type; CSHORT Size;…

原文发表于百度空间,2009-01-09========================================================================== 今天又想起来VirtualKD这个东西,试用了一下,真是爽坏了,可能我火星了~~ 很久以前就知道小喂有个VmKd工具,使用Vmware的后门指令直接拷贝数据来代替模拟串口,能大大提高调试时的数据传输速度.不过那个对VMware版本的依赖性太强,我的Vmware就没法用,所以很不爽得又放下了,很长一段时间也没关…

原文发表于百度空间,2010-08-01========================================================================== 今天花了一点时间把Windows对象管理的变化看了一下,重点放在了Win7这个新的系统上.事实上,在对象管理这一部分上,从XP.2003几乎没有什么变化,到Vista以后,对象的管理依然没有太大变化,只是内核多导出了几个与对象操作有关的函数而已.而到了Win7以后,在Vista的基础上变动则比较大,主要是体现…

原文发表于百度空间,2009-04-04========================================================================== 在创建句柄时,操作过程并不受StrictFIFO标志的影响.而在销毁句柄时,StrictFIFO标志则决定了如何放置刚释放的这个FreeHandle.对于普通进程的句柄表而言,StrictFIFO为0,那么销毁该句柄时,Free指针所指向的队列头是HandleTable->FirstFree.此时这个新的Fr…

原文发表于百度空间,2009-03-30========================================================================== 阅读提示:由于继续使用了chichou同学的CodeHighlighter来修饰代码,造成文章字数过多,故分成三篇,且后两篇内容的顺序稍有调整,阅读时请根据大标题的顺序来~ 前置知识:Windows句柄表的基本结构本文以WRK1.2的代码为参考,主要分析Windows句柄表的分配算法,其实只要了解了句柄表的结…

原文发表于百度空间,2009-04-04========================================================================== 分析了Windows句柄表的分配算法之后,综合WRK1.2中的代码以及Window XP下的实践,继续分析句柄的分配算法~~为了便于描述,先定义几个概念:FreeHandle即尚未被使用的Handle,FreeHandleList是由FreeHandle依靠HandleTableEntry->NextFree…

原文发表于百度空间,2009-03-31========================================================================== 理论结合实践,这是我一贯的学习方法~~实验目的:以实验的方式观察PspCidTable的变化,从中了解Windows句柄表的分配过程.实验器材:Windbg,RunIt(一个可控的不断创建线程的程序),DebugView知识回顾: 如图所示,句柄表的结构根据TableLevel来确定:TableLevel为0…

原文发表于百度空间,2009-02-28========================================================================== 句柄是Windows对象管理中引入的一个东西,它的实际意义是对象在句柄表中的索引.Windows2000使用的是固定的三层句柄表,而WindowsXP和Windows2003都是使用的动态可扩展的三层句柄表,这是一种很优秀的结构,易扩展,且查找迅速,值得学习.通常情况下每个进程的句柄表都是一级表,当句柄数超过…

原文发表于百度空间,2011-03-24========================================================================== 看雪上别人问的一个问题,顺便在此记录下吧~~ kd> kvn # ChildEBP RetAddr Args to Child 0012f7b8 77d2dbfb 0012f81c kernel32!LoadLibraryExW+0x2 (FPO: [Non-Fpo]) 0012f7e4 7c92eae3 0…

原文发表于百度空间,2009-03-30========================================================================== 三.当需要申请一个新的二级表(MidLevelTable)时,调用ExpAllocateMidLevelTable函数 PHANDLE_TABLE_ENTRY * ExpAllocateMidLevelTable ( IN PHANDLE_TABLE HandleTable, IN BOOLEAN DoIni…

原文发表于百度空间,2009-03-30========================================================================== 四.句柄表的扩容:已分配的句柄表被用完时,ExpAllocateHandleTableEntrySlow被调用以分配一个新的句柄表,实现对句柄表的扩容.每次增加粒度都是一个一级表的大小(大小为PAGE_SIZE,句柄容量为PAGE_SIZE/sizeof(HANDLE_TABLE_ENTRY)*HANDLE_…

原文发表于百度空间及看雪论坛,2009-10-14 看雪论坛地址:https://bbs.pediy.com/thread-99460.htm 刚发这篇文章的时候,因为内容涉及360的核心产品,文章被雪藏了一段时间========================================================================== Author:achillisblog :https://www.cnblogs.com/achillis/ 上一篇的分析中漏掉了三个函…

原文发表于百度空间,2009-09-17========================================================================== 相当老的话题,大约一年前就写过这个东西了,不过那时候知识比较有限,也不了解内核,因此实现得很粗浅,现在再写一下,权当是对这个老问题的总结吧.先谈谈正规DLL的隐藏方法,这里说的正规DLL,是指用LoadLibrary以正常方式加载的DLL.一.从PEB的Ldr链中消失这个很简单,看雪上NetRoc有一篇关于这…

原文发表于百度空间,2009-01-08========================================================================== 这一篇是主要是关于Vmware部分的设置,其实参考JIURL那篇很经典的<借助VMware实现单机使用WinDbg>就可以了.不过那篇文章里面有个小错误(不知道是原作者不小心,还是别人转载的时候错了),后面的波特率应为115200而非11520我就再来写一下吧,内容基本雷同,稍微精简一些 Vmware的相关…

原文发表于百度空间及看雪论坛,2010-09-12 看雪论坛地址:https://bbs.pediy.com/thread-120296.htm========================================================================== Win7的内核新增了一系列带有Tag参数的对象增加引用(Refrence)/减少引用(Derefrence)函数,更易于找出对象使用中的“泄漏”(即Refrence和Derefrence次数不匹配). 在W…

原文发表于百度空间,2010-08-11========================================================================== 对Windows对象管理有一定了解的人都知道,在固定对象头(OBJECT_HEADER)前面是一块可变区域,称为可变对象头,它所包含的结构内容并不固定.在Win7之前,可变区域实际有哪些结构,通常是由OBJECT_HEADER中的几个偏移值指出.如下: lkd> dt _OBJECT_HEADER(WinXP…

原文发表于百度空间及看雪论坛,2009-02-27 看雪论坛地址:https://bbs.pediy.com/thread-82919.htm========================================================================== PspCidTable现在已经很科普了,关于其具体格式及如何枚举,网上相关文章一大堆,最多的两篇是gz1x和sudami写的.我这里只谈一个问题,就是枚举PspCidTable时cid的上限问题.很多人提到以…

原文发表于百度空间,2008-10-15========================================================================== 很古老的东西了,写一写,权当练手吧.本来以为没什么难度,很科普很傻瓜的东西,但是写的时候还是遇到一些问题,进程信息正确,得到的线程信息总是不正确,后来分析了一下,发现这个ntdll sdk中定义的进程信息结构和线程信息结构都有点问题,可能它是来自<Win2000 Native API>一书,不适用于Wind…

原文发表于百度空间,2011-04-05========================================================================== 在分析ntfs的B+树时,不可避免地要进行文件名大小的比较,经过观察发现通常我们在资源管理器中看到的文件排序和ntfs中有很大不同.比如,有下面一些文件,在资源管理器中排序如下: 可以看到对汉字是按其汉语拼音排序的.而在ntfs的目录索引中排序如下:观察发现,由于ntfs存储的是Unicode文件名,所以比较…

原文发表于百度空间,2010-10-07========================================================================== 由于KeUserModeCallback的工作原理,对调用者线程和进程有以下要求: 1.调用者线程不能是纯内核线程(由PsCreateSystemThread创建的线程) 2.调用者线程必须在其所属进程中调用KeUserModeCallback 3.调用者进程必须加载了user32.dll 原因很简单,因为K…

原文发表于百度空间,2010-09-07========================================================================== 本来只是打算以回复的形式回答一下m_sunv同学关于windbg搜索符号的问题,不料写得太多,超过了评论字数,索性就更详细一点单独写一篇文章来说明一下windbg查找符号文件的问题吧~ 以下所有说明以本人的符号目录设置为前提,我的符号目录设置是:_NT_SYMBOL_PATH=D:\MyLocalSymbol…

原文发表于百度空间,2010-08-09========================================================================== 在Windows系统的对象管理中,为了能够从对象头获取对象类型指针,在Win7以前的系统里直接在OBJECT_HEADER里保存了POBJECT_TYPE指针,而这一点在Win7系统里发生了改变.Win7中把所有的对象类型放在了一个表里,这个表叫做ObTypeIndexTable.这个表可以这么定义:POBJ…

原文发表于百度空间及看雪论坛,2010-01-10 看雪论坛地址:https://bbs.pediy.com/thread-104918.htm  代码及附件可到这里下载========================================================================== ring0调用ring3早已不是什么新鲜事,除了APC,我们知道还有KeUserModeCallback.其原型如下: NTSTATUS KeUserModeCallback (…

原文发表于百度空间,2009-07-02========================================================================== 快一个月没写东西了,随便写点~~ StealthCode检测似乎是RootkitUnhooker独有的功能,主要是检测那些无主的可执行代码片段.比如一些放在Pool中的代码,或者驱动中的代码但驱动隐藏了使得RKU无法找到,就认为是StealthCode了.RKU检测StealthCode的方法似乎是这样的(结…

原文发表于百度空间及看雪论坛,2009-05-13 看雪论坛地址:https://bbs.pediy.com/thread-89708.htm========================================================================== 最近很忙,也很懒,发点以前写的东西吧~学习了一下古老的CsrssWalker,写点笔记~~在Csrss.exe中,保存着所有Win32子系统进程的进程信息,这些信息以链表的形式保存.正常情况下,每一个新创建的…