标题: kernel shellcode之寻找ntoskrnl.exe基址 http://scz.617.cn:8/windows/201704171416.txt 以64-bits为例,这是Eternalblue所用函数: -------------------------------------------------------------------------- 0000000000000961 Private_find_MZ proc near 0000000000000961 53…

方法是基于PsLoadModuleList方式 驱动中遍历模块 一丶简介 简介: 进入内核了.遍历内核中使用的模块该怎么办. 其实在驱动中.我们的DriverEntry入口位置. 提供了两个参数. 一个是DrIverObject另一个则是注册表路径. 其实遍历模块的技巧就在这个DriverObject中. 众所周知在Ring3下遍历模块可以通过TEB PEB遍历. 我们会接触一个结构体叫做LDR_DATA_TABLE_ENTRY的结构体. 内核中也会使用这个结构体. 看下DriverObject…

前不久在HP ProLiant DL360 G6的服务器上面安装了Windows Server 2008 R2,系统一到晚上凌晨就出现蓝屏.重启现象,并且在 C:\Windows\Minidump 目录下面产生一些Dump文件,如下图所示: 后面我用微软的Windbg程序查看了一下系统产生的Dump文件内容,分析一下文件日志,发现内容如下: Microsoft (R) Windows Debugger Version 6.11.0001.404 X86 Copyright (c) Microso…

同事的电脑启动时出现下面提示:"因下面文件损坏或丢失Windows无法启动 %systemroot%\system32\ntoskrnl.exe,请又一次安装以上文件的拷贝"(Windows could not start because the following file is missing or corrupt: \system32\ntoskrnl.exe.Please reinstall a copy of the above file.),我在网上找了非常多解决方法,结果…

除了标题中说到的两个exe文件之外,还有另外两个ntkrnlmp.exe和ntkrpamp.exe.因为我目前用到的只是标题中的两个. 其中,我在网上搜索到的关于SSDT HOOK 的资料,举的例子,全是关于ntoskrnl.exe. 而我在我自己的Win Xp系统电脑上用WINDBG查看,我的内核文件时ntkrnlpa.exe. 所以在写文档时,遇到这个内核文件不相等的问题,所以就来查一查. 简单来说,是同一套源代码根据编译选项的不同而编译出四个可执行文件,分别用于: ntoskrnl - 单…

原文:WPF获取外部EXE图标最简单的方法 首先在工程添加对System.Drawing的引用 创建以下方法: public static ImageSource GetIcon(string fileName) {     System.Drawing.Icon icon = System.Drawing.Icon.ExtractAssociatedIcon(fileName);     return System.Windows.Interop.Imaging.CreateBitmapSou…

解决 IDA 加载 ntoskrnl.exe 时符号不完全问题 1. 问题:IDA加载xp系统的 ntoskrnl.exe 加载不完全. 2. 尝试过但未成功的解决方案: 1)配置好的IDA的 pdb.cfg,依然无效.…

主机一直用的是无线网卡,装Win10下载驱动.不管是Window10自己更新,还是通过驱动人生.驱动精灵等安装的Killer网卡驱动,均日常导致蓝屏. 状态是这样的:玩游戏蓝屏.检测系统蓝屏.清垃圾蓝屏.开软件蓝屏... 在蓝屏的时候,全都是CPU温度突然异常到90度以上,主板自动保护然后蓝屏重启,或者系统原因.根据分析,发现是Killer网卡驱动的一个Qos管理程序RfeCo10X64.sys导致的蓝屏. 大家蓝屏之后,通过BlueScreenView小工具分析出蓝屏是由于ntoskrnl.e…

0x01 找kernel32基地址的方法一般有三种: 暴力搜索法.异常处理链表搜索法.PEB法. 0x02 基本原理 暴力搜索法是最早的动态查找kernel32基地址的方法.它的原理是几乎所有的win32可执行文件(pe格式文件)运行的时候都加载kernel32.dll,可执行文件进入入口点执行后esp存放的一般是Kernel32.DLL 中的某个地址,所以沿着这个地址向上查找就可以找到kernel32的基地址.那么如何知道我们找到的地址是kernel32的基地址呢?因为kernel32.dll…

1.Assembly.GetExecutingAssembly().Location得到exe的全路径,Path.GetDirectoryName得到目录路径,不要用Directory.GetCurrentDirectory(),这个可能会变(使用OpenFileDialog或者SetCurrentDirectory()).2.AppDomain.CurrentDomain.BaseDirectory;  // 获取当前程序的目录3.System.Environment.CurrentDirec…