volcanohatred

Thinking will not overcome fear but action will.

HOOK(一)

SSDT HOOK

#SSDT HOOK #include <ntddk.h> #include <ntimage.h> #pragma pack(1) typedef struct ServiceDescriptorEntry { unsigned int *ServiceTableBase; unsigned int *ServiceCounterTableB...

Posted by volcanohatred on August 20, 2018

windows内核安全(八)

内核数据结构

待补充

Posted by volcanohatred on July 30, 2018

windows内核安全(七)

线程与进程

线程同步互斥 异常(cpu内部的中断,IF位保持不变,不关中断) 故障(FALT)除零,越界,缺页,堆栈故障。 陷阱(TRAP)int3,溢出等。 中断(IF位清零,关中断) 可屏蔽中断(maskable interrupt)。硬件中断的一类,可通过在中断屏蔽寄存器中设定位掩码来关闭。 非可屏蔽中断(non-maskable interrupt,NMI)。硬件中断的一类,无法通过在中断屏蔽寄...

Posted by volcanohatred on July 30, 2018

windows内核安全(六)

强杀文件

强杀文件 思路: 打开文件:IoCreateFile 果文件被其他程序独占: ZwQuerySystemInformation 全局句柄表,找到句柄 ZwDuplicateObject DUPLICATE_CLOSE_SOURCE 拷贝句柄,并关闭之前句柄 如果文件正在运行:(不能直接删除) pSectionObjectPointer = fileObject-&g...

Posted by volcanohatred on June 30, 2018

windows内核安全(五)

注册表操作

注册表操作 REG_MULTI_SZ 多字符类型 UNC 局域网共享路径 HIVE存储,注册表数据存储 操作注册表相关函数: ZwCreateKey :打开注册表句柄 ZwOpenKey:打开注册表 ZwSetValueKey :在添加和修改注册表键值的时候,要分类进行添加和修改 ZwQueryValueKey :对注册表的项进行查询,从而获取注册表的键值 ZwQueryKey:获得某...

Posted by volcanohatred on June 20, 2018

windows内核安全(四)

文件操作

文件操作 文件的表示: R3:”c:\\doc\\hi.txt” R0:L”\\??\\hi.txt“->\\device\\harddiskvolume3\\hi.txt 设备名的表示方法: R3:L”\\\\.\\XXX” R0:”\\device\\XXX” 常用API 读文件:ZwReadFile 写文件:ZwWriteFile 读文件属性:ZwQueryInformati...

Posted by volcanohatred on May 20, 2018

windows内核安全(三)

NT框架

内核模式驱动框架 内核模式驱动程序KMD,文件后缀.sys。 KMD通过接收和处理I/O请求包(IRP)的数据块与I/O管理器进行交互。用户模式应用程序通过windows api的调用与硬件设备进行通讯。为了向驱动程序传递信息,I/O管理器把IRP的地址传递给KMD,IRP将在用户模式和内核模式之间传递命令和数据。 NT驱动框架 NT式驱动程序模型是一种比较老式的驱动程序模型,但适用于现有...

Posted by volcanohatred on April 20, 2018

windows内核安全(二)

windows系统概述

系统概述 1.windows下的内存 1.1物理内存 windows下的物理内存不是都可以使用的,因为windows还为设备内存预留了空间。windows能够访问的物理内存取决于windows的系统版本和底层的硬件平台,有时还取决于系统配置。 物理地址扩展通过分页机制可以增加机器地址线的个数,从而增加可访问内存大小。使用PAE看似没用,其实是为了支持数据执行保护和其他特征。 查看windo...

Posted by volcanohatred on April 10, 2018

windows内核安全(一)

硬件基础篇

硬件基础 1.IA-32(英特尔32位体系架构)内存模型 1.1内存平面模型 在此情况下,线性地址等同于物理地址,但不总是如此,当拥有完善的内存保护机制时,线性地址就处于过渡状态,所以也就完全不等于物理地址了。 1.2内存分段模型 在分段内存模型中,内存呈现在段的不同区域,某段中某字节由逻辑地址指定,逻辑地址由段选择器和偏移地址(有效地址)组成。段选择器指定被引用的段,偏移地址用于指定段中...

Posted by volcanohatred on March 20, 2018

论操纵大楼灯光打游戏的可行性

对ISIMS智能电控系统的分析

黑入电控系统然后操纵大楼灯光打游戏是很多黑客电影所有的桥段,有人觉得现实中不可能实现。我想说这种东西实现起来很容易,要想操纵电力,无非是操纵智能电控系统然后控制电力而已(当然不排除其他方法)。很多人可能会问,现实生活中不是都是机械开关么?哪来的智能电控系统,其实不然,智能电控早已普遍存在,只是很多人不知道而已。 1.智能电控系统 智能电控系统即对强电加入智能弱电控制模块,从而达到...

Posted by volcanohatred on March 2, 2018

FEATURED TAGS
笔记 web 基础 web渗透 工具 渗透测试 逆向 内核 windows 系统安全 编程 驱动
ABOUT ME

How many roads must a man walk down,before they call him a man?

✉️ 649717684@qq.com

>