简介：欢迎来到“虾 窝”

原站：http://www.langouster.com/

标签：内核 安全 it

指数：

“Langouster 's Blog(虾 窝)”的内容更新

累计：57 篇（自 2009-06-30 起）

更新：约2篇/月，最后更新175 天前

Langouster 's Blog(虾 窝)

微软在X64中强推PatchGuard技术是一个失败

微软在64位系统中强制加入了一项patchguard技术，它的作用是防止操作系统自身代码及一些关键数据被hook或修改，当操作系统检测到这些修改时会引发一个蓝屏错误。...... (175 天前)

http://inezha.com/w/chhxgl3

Langouster 's Blog(虾 窝)

虚拟地址转物理地址

老规矩，高手莫进，方便自己日后查阅。在开启pae的情况下，转虚拟地址80871f24到物理地址。kd> .formats 80871f24evaluate expression: hex: 80871f24 decimal: -2138628316 octal: 20041617444 binary: 10000000 10000111 00011111 00100100...... (178 天前)

http://inezha.com/w/1bzueli

Langouster 's Blog(虾 窝)

中断服务程序（ISR）的调用参数

老规矩，高手莫进。方便自己日后查询来看到执行到kitrap01时的栈数据，首先下一个硬件断点ba e1 ntcreatethread，使kitrap01函数能执行到，然后在kitrap01下一个bp断点，千万不要下硬件断点，不然重入。当执行到kitrap01时，看栈内存，如下：kd> dds espb9a4cd34 8094ad3a nt!ntcreatethreadb9a4cd38 00000008 cs段寄存器b9a4cd3c 00000283 eflags...... (178 天前)

http://inezha.com/w/p78nqlh

Langouster 's Blog(虾 窝)

kpcr、prcb、tss、fs、tr

给自己做个记号，方便日后查找。在ring0中 fs:[0]指向kpcr，等于地址ffdff000，kpcr 叫cpu控制区（processor control region），在线程调试时需要用到在ring3中 fs:[0]指向teb：kd> dt _tebnt!_teb +0x000 nttib : _nt_tib +0x01c environmentpointer : ptr32 void +0x020 clientid : _client_id +0x028 activerpchandle : ptr32 void +0x02c threadlo... (179 天前)

http://inezha.com/w/3ch39lm

Langouster 's Blog(虾 窝)

驱动回溯Ring3堆栈(高手莫进)

都知道一般情况下从ring3进入ring0是通过sysenter或int 2e。下面以win2k3为例分析下ring3进入ring0栈变化，本文不讲具体代码。分别在ntdll!kifastsystemcall和nt!kifastcallentry以及nt!kifastcallentry中call ssdt的地方下线程条件断点，观察栈变化。...... (180 天前)

http://inezha.com/w/6kzlol5

Langouster 's Blog(虾 窝)

终于见识了内存条位错误导致的程序异常

我们的xx软件中，有一个功能是代码校验，它会定时对内存计算hash，并与原始的hash比较，检查是否被修改。前两天有个用户来反馈这个功能一直误报，根据我们的经验一般是木马或外挂引起的，但是我们仔仔细细检查了他的系统，一切正常。后来不得不建议他重装系统，没想到的是重装系统后不装任何软件问题依旧。于是我们专门为他做了一个特制的版本，这个版本会把异常时的内存数据完整dump... (184 天前)

http://inezha.com/w/f684xls

Langouster 's Blog(虾 窝)

刚创建了一个windbg群

工作中windbg用的比较多，在这方面慢慢摸索了几年，也略有心得，但正因为是一个人摸索的，很多方法可以能不是最好的方法。所以希望能和大家一起交流分享。为吸引人气，在群创建初期，提供无偿分析dump服务（非工作时间）。引用群内介绍“分享windbg调试技术，dump分析技术，windbg插件开发，以及各种软件排错技术。”群qq：169225649...... (187 天前)

http://inezha.com/w/amhzgok

订阅者 ( 3 )

相关订阅源