Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html 一顿操作之后成功在win7 64版本输出VT是否可用 之前都是在 xp 32位下编写驱动,现在转到win7 64位,又涉及IDA+windbg联动调试虚拟机,坑太多, ...
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html VT 调试环境搭建 调试方法: VmWare + win7x64 + windbg + IDA64位 一、虚拟机配置 1.打开win7的虚拟机文件,找到一个 .vmx ...
分类:
其他好文 时间:
2019-12-29 11:06:15
阅读次数:
191
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html 调试事件的处理结束 ContinueDebugEvent(de.dwProcessId, de.dwThreadId, DBG_CONTINUE); 在使用 Wait ...
分类:
其他好文 时间:
2019-12-04 13:03:54
阅读次数:
74
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html 用户异常与模拟异常的派发 一、KiDispatchException函数处理流程图 无论用户模拟异常还是CPU异常,经过前面分析,在经过记录之后,最终都会经过KiDi ...
分类:
其他好文 时间:
2019-11-05 13:53:19
阅读次数:
104
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html 用户模拟异常的记录 这部分代码量太大,就先记录了一个基本的处理流程,如果有需要,之后会进行补充。 以 throw 1 之后的处理为例。 ...
分类:
其他好文 时间:
2019-11-04 09:29:47
阅读次数:
80
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html 用户APC的执行过程 一、一个启发式问题 有一个问题,线程什么时候检查自己的APC队列,答案前面已经介绍过,是执行KiServerExit函数时。 KiService ...
分类:
其他好文 时间:
2019-11-03 17:57:34
阅读次数:
100
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html APC的本质 一、对于线程关闭问题的启发 线程,本身占据CPU,对CPU有直接控制权。 这就存在一个问题,如果一个线程不想关闭自己,则外界是无法干涉它的。 因此,线程 ...
分类:
其他好文 时间:
2019-11-03 10:54:42
阅读次数:
124
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html 备用APC队列 占坑:这一节跟进程挂靠相关联,我们先把进程挂靠给学完,之后再来学习这里。 ...
分类:
其他好文 时间:
2019-11-03 10:25:26
阅读次数:
66
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html 全局句柄表 在这前有一篇中我们介绍过私有句柄表。 对于私有句柄表,每个进程有一份。 全局句柄表,就一份,其所有句柄都存储在这张表中,由操作系统维护。 全局句柄表有一个 ...
分类:
其他好文 时间:
2019-10-30 15:14:17
阅读次数:
138
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html 句柄表(私有句柄表) 我们在R3环编程中,会接触到句柄HANDLE的概念。 比如OPENPROCESS,打开进程获取其进程句柄,这些被称为“内核句柄”。 注意,与GU ...
分类:
其他好文 时间:
2019-10-30 13:45:33
阅读次数:
125
