首先选择一个带界面的程序explorer.exe进行附加 kd> !process explorer.exe PROCESS ffff86893dd075c0 SessionId: Cid: 0d48 Peb: 00d50000 ParentCid: 0d30 DirBase: 42d9a000 ObjectTable: ffffe28598bb1800 HandleCount: . Image: explorer.exe 读取msr = 0xC0000082的值 kd> .process f…

一.获取ShadowSSDT 好吧,我们已经在R3获取SSDT的原始地址及SDT.SST.KiServiceTbale的关系里面提到:所有的SST都保存在系统服务描述表(SDT)中.系统中一共有两个SDT,一个是ServiceDescriptorTable,另一个是ServiceDescriptorTableShadow.ServiceDescriptor中只有指向KiServiceTable的SST,而ServiceDescriptorTableShadow则包含了所有的两个SST.SSDT是…

众所周知,取系统的安装时间可取注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion的子项InstallDate,此值是个DWORD类型的UnixStamp.  但是在64位系统上有所不同(仅测试了win7.win8),默认情况下32程序在64位机器上访问的是下面这个地址HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion…

ULONG GetShadowSsdtCurrentAddresses( PSSDT_ADDRESS   AddressInfo, PULONG          Length ) { PSYSTEM_SERVICE_TABLE KeServiceDescriptorTableShadow = NULL; ULONG NumberOfService = 0; ULONG ServiceId = 0; PKAPC_STATE ApcState; ULONG i; if (AddressInfo =…

0x01 前言 我们知道R3层中,Zw系列函数和Nt系列函数函数是一样的,但是在内核Zw系列函数调用了Nt系列函数,但是为什么要在内核设置一个Zw系列函数而不是直接调用Nt函数呢?Zw系列函数又是怎么调用Nt系列函数的呢?我们利用IDA分析NtosKrnl.exe文件. 0x02 ZwProtectVirtualMemory 我们先看看ZwProtectVirtualMemory的实现 . ; NTSTATUS __stdcall ZwProtectVirtualMemory(HANDLE Pr…

0×00 摘要 混淆是一种能增加二进制分析和逆向工程难度与成本的常用技术.主流的混淆技术都是着眼于使用与目标CPU相同的机器代码,在相同的处理器模式下,隐藏代码并进行控制.本文中引入了一种新的混淆方法,这一方法利用了64Windows系统中的32位/64位交叉模式编码.针对静态和动态分析工具的案例研究证明了这种混淆技术虽然简单,但是十分有效. 0×01 64位Windows中的模式转换 所有的64位Windows操作系统都能向下兼容未修改过的 32位应用,这是通过WoW64(64位Windows…

win7(64)位下WinDbg64调试VMware10下的win7(32位) 一 Windbg32位还是64位的选择 参考文档<Windbg 32位版本和64位版本的选择> http://blog.csdn.net/ithzhang/article/details/13096113 “运行调试器的计算机我们成为调试主机,被调试的计算机我们称为目标机.” “如果你的调试主机运行的是32位版本的windows,使用32位的调试工具(不管此时被调试的目标机是 x86-based 还是 x64-ba…

Program Files 的重定向 很多开发人员都知道,在 64 位 Windows 系统上,32 位程序是无法获取得到 C:\Program Files 的完整路径的,只能获取到 C:\Program Files (x86).不管你用的是什么方法: TCHAR szPath[MAX_PATH] = { 0 }; ExpandEnvironmentStrings(_T("%ProgramFiles%"), szPath, MAX_PATH); 又或者是: SHGetSpecialFo…

32位dbg中编辑的: 7711E9D3 | 6A | | 7711E9D5 | E8 | 7711E9DA | | | 7711E9DE | CB | ret far | 6A E8 CB 64位dbg中获取的: :B8 | | | push rax | : | push r8 | : | push r9 | : | push r10 | : | push r11 | : | push r12 | : | push r13 | : | push r14 | r14:"minkernel\\nt…

最新的Windbg调试工具32位/64位版本越来越不好下载了,这里通过CSDN的渠道给大家一个下载地址,帮助大家更好下载工具: https://github.com/EasyDarwin/Tools/tree/master/Windbg_x86_x64 获取更多信息 邮件:support@easydarwin.org WEB:www.EasyDarwin.org QQ交流群:587254841 Copyright © EasyDarwin.org 2012-2017…