ETHREAD APC 《寒江獨釣》內核學習筆記(4)
繼續學習windows 中和線程有關系的數據結構: ETHREAD、KTHREAD、TEB 1. 相關閱讀材料 《windows 內核原理與實現》 --- 潘愛民 2. 數據結構分析 一. ETHREAD ETHREAD(執行體線程塊 ...
原文:KPROCESS IDT PEB Ldr 《寒江獨釣》內核學習筆記(3)
繼續上一篇 未完成的研究,我們接下來學習 KPROCESS這個數據結構。 . 相關閱讀材料 深入理解計算機系統 原書第 版 二. KPROCESS KPROCESS,也叫內核進程塊。我們在開始學習它的數據機構之前,首先要思考的一個問題是,它和EPROCESS名字感覺差不多,那它們之間是什么關系呢 它們在內核區域中都位於那一層呢 我們先來看一張圖: windows內核中的執行體負責各種與管理和策略相 ...
2013-12-02 21:50 2 3509 推薦指數:
相關推薦
IRP IO_STACK_LOCATION 《寒江獨釣》內核學習筆記(1)
在學習內核過濾驅動的過程中,遇到了大量的涉及IRP操作的代碼,這里有必要對IRP的數據結構和與之相關的API函數做一下筆記。 1. 相關閱讀資料 《深入解析 windows 操作系統(第4版,中文版)》 --- 9章 《windows driver kit 幫助文檔》 http ...
EPROCESS 進程/線程優先級 句柄表 GDT LDT 頁表 《寒江獨釣》內核學習筆記(2)
在學習筆記(1)中,我們學習了IRP的數據結構的相關知識,接下來我們繼續來學習內核中很重要的另一批數據結構: EPROCESS/KPROCESS/PEB。把它們放到一起是因為這三個數據結構及其外延和windows中進程的表示關系密切,我們在做進程隱藏和進程枚舉的時候一定會涉及到這3類數據結構 ...
發生系統錯誤 1275.此驅動程序被阻止加載 寒江孤釣<
內核安全編程>>
學習
筆記
安裝書中第一章成功安裝first服務之后,在cmd窗口使用命令行 "net start first" 時, 出現 "發生系統錯誤 1275.此驅動程序被阻止加載" 后來多方查找,發現問題 WIN ...
KTHREAD 線程調度 SDT TEB SEH shellcode中DLL模塊機制動態獲取 《寒江獨釣》內核學習筆記(5)
目錄 2. 數據結構分析 二. KTHREAD KTHREAD(內核層線程對象)。再次重復說明一點: 之所以多次提到這一點是因為我發現在研究一項技術或者一個機制、數據結構之前,如果腦袋中能建立起對這個事物的功能上的深刻認識,知道這個技術將用在哪里,將實現 ...
PEB及LDR鏈
PEB地址的取得在NT內核系統中fs寄存器指向TEB結構,TEB+0x30處指向PEB結構,PEB+0x0c處指向PEB_LDR_DATA結構,PEB_LDR_DATA+0x1c處存放一些指向動態鏈接庫信息的鏈表地址,win7下第一個指向ntdl.dll,第三個就是kernel32.dll ...
通過PEB的Ldr枚舉進程內所有已加載的模塊
一、幾個重要的數據結構,可以通過windbg的dt命令查看其詳細信息 _PEB、_PEB_LDR_DATA、_LDR_DATA_TABLE_ENTRY 二、技術原理 1、通過fs:[30h]獲取當前進程的_PEB結構 2、通過_PEB的Ldr成員獲取_PEB_LDR_DATA結構 ...