首页
学习
活动
专区
工具
TVP
发布

逆向技术

一个学习逆向技术的专栏,在这里可以学到逆向,破解.反汇编.
专栏成员
382
文章
596560
阅读量
134
订阅数
x64windows内核句柄表PspCidTable原理与解析
句柄表老生常谈的话题,里面存储了 进程和线程的对象信息。 通过句柄表也可以遍历出隐藏的进程。也就是说全局句柄表里面存储的并不是句柄 而是进程EPROCESS 和线程 ETHREAD
IBinary
2023-07-24
1.1K0
一丶读取SSDT表 (KeServiceDescriptorTable)
在64位系统下我们可以通过读取msr 寄存器来获取内核函数入口. msr在开启内核隔离模式下获取的是 KiSystemCall64Shadow 而在未开启内核模式下则是获取的 KiSystemCall64
IBinary
2022-05-10
1.7K0
Win32文件系统编程
单个文件容量.  意思就是一个文件可以是多大的. NTFS 是可以4G以上的大文件. FAT32则不可以.
IBinary
2022-05-10
6790
内核知识第12讲,SSDT表.以用户模式到系统模式的两种方式.
我们知道.IDT表中存放着各种中断信息.比如当我们调用int 3的时候,则会调用IDT表中的第三项来进行调用. 而函数地址则是操作系统给的.
IBinary
2022-05-10
7200
内核知识第五讲.驱动框架编写,以及3环和0环通信.
在讲解内核驱动框架的是否,我们要先了解设备是什么.  设备和驱动之间的数据关系是什么.
IBinary
2022-05-10
5160
内核第三讲,进入ring0,以及编写第一个内核驱动程序.
PS: 请下配置双机调试,下方有可能用到.如果不配置,则你可以不用调试, 博客连接: http://www.cnblogs.com/iBinary/p/8260969.html
IBinary
2022-05-10
1.4K0
x64下进程保护HOOK
以前我们讲过.SSDT 可以做很多事情.比如可以防止进程被结束 其实到了x64下.你也可以HOOK SSDT.只不过你需要过一下PatchGuard 但是在你过不了PG的情况下.其实操作系统也给你提供了回调进行保护. 这个回调 也可以称作 对象钩子(OBject)
IBinary
2019-07-27
1.6K0
X86 下的SSDT HOOK
x64下可以设置回调来进行过滤我们想要的功能.当然如果你简单的过一下PatchGuard也可以设置SSDT HOOK.
IBinary
2019-07-23
1.2K0
64位内核开发第四讲,查看SSDT表与showSSDT表
KeServiceDescriptorTableShadow是ShadowSSDT表 KeServiceDescriptorTable是SSDT表.
IBinary
2019-06-14
1.9K0
Java开发知识之Java中的Map结构
  Map没有实现Collection接口,提供的是Key 到Value的映射. Map中.不能包含相同的Key,每个Key只能映射一个Value的值. 相当于就是 一一对应关系. 比如你有老婆,你是老公, 一个老公只能有一个老婆(在中国^_^),Kery还决定了存储对象在映射中的存储位置.但不是由Key对象本身决定的.而是一种散列技术进行处理.产生一个散列码的证书值.简单来说就是通过一串算法.算出的一个不会相同的值.
IBinary
2019-05-25
5640
数据结构第一讲,数据结构入门了解知识.
我们常听的一句话就是, 数据结构 + 算法 = 程序 意思就是在我们的程序设计中,数据结构是必不可少的,那么什么是数据结构,数据结构简而言之就是针对数据关系而生产的产物.可能不是很理解.因为我们程序编写过程中,程序中产生的数据怎么存储这都是数据关系. 常见的数据结构种类. 集合 线性结构 树结构``图结构 针对这些结构我们可以看下示例图
IBinary
2019-05-25
3560
PC逆向之代码还原技术,第一讲基本数据类型在内存中的表现形式.浮点,指针寻址公式
C++中整数的基本数据类型有三种, int long short. 在 VC6.0中,int long所占内存都是4字节. short两个字节. 以16进制为例 int long 分别就是4个字节. short两个字节. 一个字节是8位.
IBinary
2019-05-25
5800
C++STL模板库序列容器之List容器
list容器底层是链表结构来维护的.跟vector不一样. vector是数组维护的.拥有连续内存.所以可以使用[] 运算符操作.list底层是链表维护.内存不连续.所以不能使用[]运算符. 且对比vector添加了新的方法.因为底层是链表.所以可以对头尾进行删除或者添加元素.
IBinary
2019-05-25
3580
PE知识复习之PE的重定位表
    重定位的意思就是修正偏移的意思. 如一个地址位 0x401234 ,Imagebase = 0x400000 . 那么RVA就是 1234. 如果Imagebase 变了成了0x300000, 那么修正之后就是 ImageBase + RVA = 0X300000+1234 = 0x301234.
IBinary
2019-05-25
1.6K0
PE知识复习之PE的导出表
答案: 不是.是由很多PE文件组成.DLL也是PE文件.如果我们PE文件运行.那么就需要依赖DLL.系统DLL就是Kerner32.dll user32.dll等等.这些都是PE文件.
IBinary
2019-05-25
1.5K0
汇编代码还原第一讲,基本类型以及浮点编码.
C++中整数的基本数据类型有三种, int long short. 在 VC6.0中,int long所占内存都是4字节. short两个字节. 以16进制为例 int long 分别就是4个字节. short两个字节. 一个字节是8位.
IBinary
2019-05-25
1.2K0
Win32之内存管理之虚拟内存跟物理内存
  我们知道每个应用程序都有自己独立的4GB空间.  假设A进程的 地址123 存储了10  那么B进程的123地址 存储了20
IBinary
2018-09-28
1.3K0
64位内核第一讲,和32位内核的区别
          64位内核第一讲,和32位内核的区别 双击调试配置请查看 连接: https://www.cnblogs.com/aliflycoris/p/5877323.html 一丶编译的区
IBinary
2018-03-30
1.5K0
x64内核HOOK技术之拦截进程.拦截线程.拦截模块
            x64内核HOOK技术之拦截进程.拦截线程.拦截模块 一丶为什么讲解HOOK技术. 在32系统下, 例如我们要HOOK SSDT表,那么直接讲CR0的内存保护属性去掉. 直接讲
IBinary
2018-03-30
2.3K0
逆向知识十一讲,识别函数的调用约定,函数参数,函数返回值.
IBinary
2018-01-08
2.3K0
点击加载更多
社区活动
【纪录片】中国数据库前世今生
穿越半个世纪,探寻中国数据库50年的发展历程
Python精品学习库
代码在线跑,知识轻松学
博客搬家 | 分享价值百万资源包
自行/邀约他人一键搬运博客,速成社区影响力并领取好礼
技术创作特训营·精选知识专栏
往期视频·千货材料·成员作品 最新动态
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档