ETHREAD APC 《寒江独钓》内核学习笔记(4)
继续学习windows 中和线程有关系的数据结构: ETHREAD、KTHREAD、TEB 1. 相关阅读材料 《windows 内核原理与实现》 --- 潘爱民 2. 数据结构分析 一. ETHREAD ETHREAD(执行体线程块 ...
原文:KPROCESS IDT PEB Ldr 《寒江独钓》内核学习笔记(3)
继续上一篇 未完成的研究,我们接下来学习 KPROCESS这个数据结构。 . 相关阅读材料 深入理解计算机系统 原书第 版 二. KPROCESS KPROCESS,也叫内核进程块。我们在开始学习它的数据机构之前,首先要思考的一个问题是,它和EPROCESS名字感觉差不多,那它们之间是什么关系呢 它们在内核区域中都位于那一层呢 我们先来看一张图: windows内核中的执行体负责各种与管理和策略相 ...
2013-12-02 21:50 2 3509 推荐指数:
相关推荐
IRP IO_STACK_LOCATION 《寒江独钓》内核学习笔记(1)
在学习内核过滤驱动的过程中,遇到了大量的涉及IRP操作的代码,这里有必要对IRP的数据结构和与之相关的API函数做一下笔记。 1. 相关阅读资料 《深入解析 windows 操作系统(第4版,中文版)》 --- 9章 《windows driver kit 帮助文档》 http ...
EPROCESS 进程/线程优先级 句柄表 GDT LDT 页表 《寒江独钓》内核学习笔记(2)
在学习笔记(1)中,我们学习了IRP的数据结构的相关知识,接下来我们继续来学习内核中很重要的另一批数据结构: EPROCESS/KPROCESS/PEB。把它们放到一起是因为这三个数据结构及其外延和windows中进程的表示关系密切,我们在做进程隐藏和进程枚举的时候一定会涉及到这3类数据结构 ...
发生系统错误 1275.此驱动程序被阻止加载 寒江孤钓<内核安全编程>> 学习笔记
安装书中第一章成功安装first服务之后,在cmd窗口使用命令行 "net start first" 时, 出现 "发生系统错误 1275.此驱动程序被阻止加载" 后来多方查找,发现问题 WIN ...
KTHREAD 线程调度 SDT TEB SEH shellcode中DLL模块机制动态获取 《寒江独钓》内核学习笔记(5)
目录 2. 数据结构分析 二. KTHREAD KTHREAD(内核层线程对象)。再次重复说明一点: 之所以多次提到这一点是因为我发现在研究一项技术或者一个机制、数据结构之前,如果脑袋中能建立起对这个事物的功能上的深刻认识,知道这个技术将用在哪里,将实现 ...
PEB及LDR链
PEB地址的取得在NT内核系统中fs寄存器指向TEB结构,TEB+0x30处指向PEB结构,PEB+0x0c处指向PEB_LDR_DATA结构,PEB_LDR_DATA+0x1c处存放一些指向动态链接库信息的链表地址,win7下第一个指向ntdl.dll,第三个就是kernel32.dll ...
通过PEB的Ldr枚举进程内所有已加载的模块
一、几个重要的数据结构,可以通过windbg的dt命令查看其详细信息 _PEB、_PEB_LDR_DATA、_LDR_DATA_TABLE_ENTRY 二、技术原理 1、通过fs:[30h]获取当前进程的_PEB结构 2、通过_PEB的Ldr成员获取_PEB_LDR_DATA结构 ...