前两日碰到了用异常处理来做加密的re题目 所以系统学习一下windows内核相关 windows内核基础 权限级别 内核层:R0 零环 核心态工作区域 大多数驱动程序 应用层:R3 用户态工作区域 只能使用win32 api与系统交互 R0与R3的通信 调用流程 当用户调用一个有关I/O的API时 该API封装在一个用户层的DLL文件中(如kernel32.dll或user32.dll) 此dll函数的更底层函数被包含在ntdll.dll中 即用户调用的系统API在ntdll.dll均有对应 (

在上一篇博文<驱动开发:内核通过PEB得到进程参数>中我们通过使用KeStackAttachProcess附加进程的方式得到了该进程的PEB结构信息,本篇文章同样需要使用进程附加功能,但这次我们将实现一个更加有趣的功能,在某些情况下应用层与内核层需要共享一片内存区域通过这片区域可打通内核与应用层的隔离,此类功能的实现依附于MDL内存映射机制实现. 应用层(R3)数据映射到内核层(R0) 先来实现将R3内存数据拷贝到R0中,功能实现所调用的API如下: IoAllocateMdl 该函数用于创建

目录/参考资料:https://www.cnblogs.com/railgunRG/p/14412321.html 在阅读本节前,建议先阅读<Windows内核安全与驱动开发>第五章内容,并自行了解相关背景知识. R0部分 创建项目,打开:项目属性->链接器->输入->附加依赖项(点开后选择[编辑]),添加: %(AdditionalDependencies) $(DDK_LIB_PATH)\wdmsec.lib 参考代码: #include <ntifs.h>

用户部分代码: int main() { HANDLE hDevice = CreateFile(L, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL); if (hDevice==INVALID_HANDLE_VALUE) { printf("Failed to obtain device handle..."); getchar(); ; } UCHAR buffer[]; ULONG size; LPDWORD ll; BOOL

Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html 技术学习来源:火哥(QQ:471194425) R3环申请内存时页面保护与_MMVAD_FLAGS.Protection位的对应关系 我们之前有过一篇关于 VAD 的介绍,其中 _MMVAD_FLAGS.Protection 中描述了页的属性. 我们知道在R3下申请内存时也会定义内存的属性,但通过搜索数值,发现这俩并不相同,这很让人产生疑惑. 下面就来解答这一疑惑

ARM汇编指令集 指令.伪指令 (汇编)指令:   是机器码的助记符,经过汇编器编译后,由CPU执行. (汇编)伪指令:用来指导指令执行,是汇编器的产物,最终不会生成机器码. 有两种不同风格的ARM指令 1).ARM官方的ARM汇编风格:指令一般用大写,Windows中的IDE开发环境. 2).GNU风格的ARM汇编:指令一般用小写. ARM汇编的特点 1. LDR/STR架构 1).ARM采用RISC架构,CPU本身不能直接读取内存,而需要先将内存中内容加载入CPU中通用寄存器中才能被CPU处

ARM处理器的指令集可以分为跳转指令.数据处理指令.程序状态寄存器(PSR)处理指令.加载/存储指令.协处理器指令和异常产生指令6大指令 一.跳转指令 跳转指令用于实现程序流程的跳转 跳转指令分类 Ⅰ.使用专门的跳转指令 分支指令 B 带链接的分支指令: BL 带状态切换的分支指令 BX Ⅱ. 程序计数器PC控制 直接向程序计数器PC写入跳转地址值,通过向程序计数器PC写入跳转地址值 可以实现在4GB的地址空间中的任意跳转,在跳转之前结合使用MOV LR,PC等类似指令 可以保存将来的返回地址值

[目标] 编译UNREALPORJECT2工程 [思路] 1 2 3 一件衣服23932个面 vs: // // Generated by Microsoft (R) HLSL Shader Compiler 6.3.9600.17672 // // // Buffer Definitions: // // cbuffer WorldBuffer // { // // struct WorldStruct // { // // row_major float4x4 ViewProject;//

s3c2440启动方式 1. 从nand flash 启动 1.1 上电后将nand flash中的前4KB数据复制到“Stepping Stone”: 1.2 CPU 执行“Stepping Stone”中的代码: //通常的做法是将nand flash中的代码拷贝至sdram: 2. 从nor flash 启动 2.1 根据nor flash的总线数据宽度,从第一条指令开始执行: //通常的做法:是用这段程序将nor flash中的代码拷贝至sdram: 启动代码核心分析 GET optio

反复在数组名与指针上犯错误,特记录下. ,,,,}; int *p, *q; p = (); q = (); *(p+1)?   *(q-1) ? 答案是 3, 5.这里主要涉及的问题就是指针参与运算时,它的地址是怎么增加的,也就是它的地址变化单位.首先,明确一点,指针参与算术运算时,指针地址变化是:offset * 指针指向对象长度.例如,上面的代码中,p, q都是int *类型的,那么指针对象长度就是4,同理,char *ptr, 它的就是1.再看看p q此时的指向,关键点就是对于数组名,a

AM335x 调试信息UART1输出代码修改1. 关于pin_mux  的配置代码修改位置:/board/forlinx/ok335x/mux.c void enable_uart0_pin_mux(void) { configure_module_pin_mux(uart0_pin_mux_spl); configure_module_pin_mux(uart1_pin_mux); } 将这行代码打开. 代码跟踪流程:arch/arm/cpu/armv7/start.S :开头的_start

ARM指令学习 一.算数和逻辑指令 1— MOV 数据传送指令    2.— MVN 数据取反传送指令    3.— CMP 比较指令    4.— CMN 反值比较指令    5.— TST 位测试指令    6.— TEQ 相等测试指令    7.— ADD 加法指令    8.— ADC 带进位加法指令    9.— SUB 减法指令   10.— SBC 带借位减法指令   11.— RSB 逆向减法指令   12.— RSC 带借位的逆向减法指令   13.— AND 逻辑与指令   

前言 在学习.分析之前首先要弄明白一个问题:为什么要分析启动代码? 因为启动代码绝大部分都是用汇编语言写的,对于没学过或者不熟悉汇编语言的同学确实有一定难度,但是如果你想真正深入地学习Linux,那么读.分析某一个体系结构(比如ARM)的启动代码或者其他底层代码是必不可少的.当分析之后会发现这是有很多好处的:分析启动代码可以加深对汇编语言的理解:可以学习汇编语言的使用技巧:可以学习如何编写位置无关的代码,可以知道从启动到start_kernel()函数之前内核到底干了什么事情,从而为后续其他内核

在学习内核过滤驱动的过程中,遇到了大量的涉及IRP操作的代码,这里有必要对IRP的数据结构和与之相关的API函数做一下笔记. 1. 相关阅读资料 <深入解析 windows 操作系统(第4版,中文版)> --- 9章 <windows driver kit 帮助文档> http://support.microsoft.com/kb/115758/zh-cn  IRP 结构中各地址字段的含义 http://www.programlife.net/io_stack_location-i

ADuC702x可以用两套指令集:ARM指令集和Thumb指令集.本小节介绍ARM指令集.在介绍ARM指令集之前,先介绍指令的格式. A.2.1  指令格式         (1)基本格式         <opcode>{<cond>}{S} <Rd>,<Rn>{,<opcode2>}         其中,<>内的项是必须的,{}内的项是可选的,如<opcode>是指令助记符,是必须的,而{<cond>}为

/* * armboot - Startup Code for OMAP3530/ARM Cortex CPU-core * * Copyright (c) 2004 Texas Instruments <r-woodruff2@ti.com> * * Copyright (c) 2001 Marius Gröger <mag@sysgo.de> * Copyright (c) 2002 Alex Züpke <azu@sysgo.de> * Copyright (c)

以下为本人学习笔记,如有转载请注明出处,谢谢 DEFINE_MUTEX(buzzer_mutex); mutex_lock(&buzzer_mutex); mutex_unlock(&buzzer_mutex); static void WriteNumber(const char *fileName, int number) { FILE *fp; fp = fopen(fileName, "w"); if (fp == NULL) { LCD_DEBUG("

Uboot_Kernerl_Add_Watch_Dog: U-Boot 2010.06 (Nov 01 2013 - 15:28:44) DRAM:  128 MiBCheck spi flash controller v350... FoundSpi(cs1) ID: 0xEF 0x40 0x18 0x00 0x00 0x00Spi(cs1): Block:64KB Chip:16MB Name:"W25Q128B"*** Warning - bad CRC, using defau

转载自:http://cxb4224.blog.163.com/blog/static/191224151201110220325976/ ARM处理器的工作状态和工作模式 工作状态 ARM处理器一般可以工作在两种状态下:ARM状态和Thumb状态. ARM状态是指处理器执行32位的字对齐的ARM指令程序时的工作状态.Thumb状态是指处理器执行16位的.半字对齐的Thumb指令程序时的工作状态.在程序设计时,程序员可以控制ARM处理器的工作状态,并可以在这两种状态之间进行切换. ARM处理器的

转载: *************************************************************************************************************************** 作者:EasyWave                                                                                 时间:2012.02.18 类别:linux驱动开发    

一.前言   对于IDT第一次的认知是int 2e ,在系统调用的时候原来R3进入R0的方式就是通过int 2e自陷进入内核,然后进入KiSystemService函数,在根据系统服务调用号调用系统服务函数.而2e就是IDT(系统中断描述符表)中的索引位2e的项,而KiSystemService就是该项的例程函数,后来为了提升效率,有了系统快速调用,intel的的cpu通过sysenter指令快速进入内核,直接通过kiFastCallEntry函数调用系统服务函数,各种杀软也做了这个地方的Hoo