目录 一丶前言 二丶逆向过程 1.windbg挂载 win7 32位.定位到函数反汇编位置 2.逆向 PspSetCreateProcessNotifyRoutine 3.逆向 ExReferenceCallBackBlock 三丶总结 一丶前言 因自己工作,可能后面会写ark工具.所以周六周日没事就逆向了一下进程回调数组. 虽然资料很多.但是自己动手自己明白.总比别人给的好. 所以记一下自己的分析思路以及逆向结果. 内核中 PsSetCreateProcessNotifyRoutine回调函数…

一丶简介 纯属兴趣爱好.特来逆向玩玩. PsSetLoadImageNotifyRoutine 是内核中用来监控模块加载.操作系统给我们提供的回调. 我们只需要填写对应的回调函数原型即可进行加监控. 既然可以进行监控.那么我们的回调函数存储在哪.这是个问题.所以特来逆向玩玩. 二丶逆向过程 首先我的思路是直接windbg 挂载win7. 然后找到对应的函数进行 uf 反汇编. 来静态查看. 如果那里有疑问则自己进行动态查看. 过程很快.因为逆向过 进程回调监控.所以这个也就很快了.慢慢学习经验.…

1.应用场景 在Windows或者linux操作系统中,我们在启动一个tomcat服务器时,经常会发现8080端口已经被占用的错误,而我们又不知道如何停止这个tomcat服务器. 2.window环境下杀死进程 1.首先查找到占用8080端口的进程号PID是多少(tomcat默认是8080端口,假如你修改了tomcat的监听端口,请输入你的tomcat端口号) netstat -ano | findstr 8080 这个命令输出的最后一列表示占用8080端口的进程号是多少,假设为9572 2.k…

windows和linux下解决Tomcat进程 windows下启动Tomcat报错,8080端口号被占用,报错信息如下 两种解决方法,一种是关闭了这个端口号,另外一种是修改Tomcat下的server.xml中的port为其他的,让端口号不再冲突 首先来看windows下如何关闭Tomcat进程 打开cmd执行这个命令 netstat -ano | findstr 8080 此时会出现8080端口的进程号,如图: 上图中的2704就是8080的进程号(进程号不一定相同),我们关闭了就行了,命…

Linux下查看某个进程打开的文件数-losf工具常用参数介绍 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 在linux操作系统中,一切皆文件.通过文件不仅仅可以访问常规数据,还可以访问网络连接和硬件.比如说传输控制协议 (TCP) 和用户数据报协议 (UDP) 套接字等.有时候我们可能需要统计一下那个进程占用了那类文件,或者该进程总共打开的文件数等等,此时我们就需要一个工具帮我们查看相应的信息啦,它就是本片博客的主人公-lsof. 一.losf是个什么玩意? 1>.los…

--kill某个用户下的所有进程(用户为test)--pkill  # pkill -u test--killall  # killall -u test--ps  # ps -ef | grep test | awk '{ print $2 }' | xargs kill -9--pgrep # pgrep -u test | xargs kill -9 --kill某个程序的所有进程(程序为postgresql) --ps # ps -ef|grep postgres|grep -v gre…

  Linux下分析某个进程CPU占用率高的原因 通过top命令找出消耗资源高的线程id,利用strace命令查看该线程所有系统调用  1.top 查到占用cpu高的进程pid 2.查看该pid的线程:top -H -p 9532 3.查看这个线程所有系统调用:strace -p 10017 不停循环输出Connection timed out,让开发查看问题…

解决linux下tomcat停止进程任存在问题 在Linux下(之所以强调linux下,是因为在windows下正常),执行tomcat ./shutdown.sh 后,虽然tomcat服务不能正常访问,但是ps -ef |grep tomcat 后,发现tomcat对应的java进程未随web容器关闭而销毁,进而存在僵尸java进程.多次shutdown以后会发现系统内存溢出,然后需要一个一个把tomcat的进程杀掉 问题原因 在Linux系统中当有非守护线程(即User Thread)存在,…

windows和linux下解决Tomcat进程 windows下启动Tomcat报错,8080端口号被占用,报错信息如下 两种解决方法,一种是关闭了这个端口号,另外一种是修改Tomcat下的server.xml中的port为其他的,让端口号不再冲突 首先来看windows下如何关闭Tomcat进程 打开cmd执行这个命令 netstat -ano | findstr 8080 此时会出现8080端口的进程号,如图: 上图中的2704就是8080的进程号(进程号不一定相同),我们关闭了就行了,命…

如何杀掉一个用户下的所有进程并drop掉这个用户 Copy the sample code below into a file named kill_drop_user.sql.Open SQL*Plus and connect as user SYS to your databaseSQL> CONNECT sys/change_on_install@orcl AS SYSDBACreate a user called TEST with password TESTSQL> GRANT co…