首页
学习
活动
专区
工具
TVP
发布

Eureka的技术时光轴

专栏成员
341
文章
727126
阅读量
39
订阅数
PE文件学习笔记(五):导入表、IAT、绑定导入表解析
导入表是记录PE文件中用到的动态连接库的集合,一个dll库在导入表中占用一个元素信息的位置,这个元素描述了该导入dll的具体信息。如dll的最新修改时间、dll中函数的名字/序号、dll加载后的函数地址等。而一个元素即一个结构体,一个导入表即该结构体的数组,其结构体如下所示:
战神伽罗
2022-03-30
1.4K0
The Structure of import Library File (.lib)
This article show the structure of import library file (.lib) used along with header to link against DLL
战神伽罗
2022-01-09
6540
C++得到系统活动、可用的串口及名称的两种方法
void GetComList_256(CComboBox * CCombox)//获取可用com口支持到256个
战神伽罗
2021-04-14
1.8K2
STM32F103-CubeMX-USB学习--虚拟com口
STM32-CubeMX USB学习 1. 虚拟com学习 1.1 开发环境 1.2 使用STM32CubeMX配置代码 1.3 串口自发自收 1.4 串口定向printf
战神伽罗
2021-04-14
1.1K0
Windows 10 Notifications from a VCL app with the WinRT API
The WinRT API headers for Delphi are now on GetIt and here is a demo to try out using Windows 10 notifications in a VCL Win32 application.
战神伽罗
2021-03-08
7670
NDIS 6 Net Buffer Lists and Net Buffers
NDIS 6.0 introduced a new way of representing network packet data. The new data structures, a combination of Net Buffer Lists (NBLs), Net Buffers (NBs) and Memory Descriptor Lists (MDLs) have significant advantages over the old NDIS 5.X way of describing packets i.e. NDIS_PACKET and NDIS_BUFFER structures. This document describes the functionality provided by NBLs, NBs, MDLs and their usage in NDIS 6.X drivers on Windows Vista and later versions of Windows.
战神伽罗
2021-03-08
1.2K1
使用WinDbg查看保护模式分页机制下的物理地址
我们知道,当今主流的x86/x64 Intel处理器默认都使用了保护模式,不同于8086时代的实模式机制,保护模式和分页机制实现了内核层与用户层隔离,进程间执行环境隔离。
战神伽罗
2021-01-26
1.8K0
通过x64分页机制的PTE Space实现内核漏洞利用x64中的分页机制重映射原语(概览)深入重映射机制:一些问题:猜测CR3总结
在研究NVIDIA DxgDdiEscape Handler的漏洞时,可以非常明显的感觉到过去几年中讨论的GDI原语的方法对于可靠的利用此漏洞毫无帮助。
战神伽罗
2021-01-07
1.3K0
物理地址读写驱动
没有用MmMapIoSpace,用了映射的方式对物理地址数据进行读写,之前测试MmMapIoSpace在win10较高版本用不了,貌似是不支持了。然后利用映射的方式测试的时候可以在win10下运行。用法和效果如下,加载驱动后,Read.exe用来读取物理地址的数据,限制为0x100字节大小,当然可以通过修改驱动代码来读取任意字节,我这里只是给了个demo;Write.exe则是对指定的物理地址进行写操作,限制了写入的大小为DWORD32,这里也可以通过修改驱动代码进行调整。
战神伽罗
2021-01-06
2.5K2
如何从EPROCESS辨别一个进程是否已退出
前面已经通过遍历活动进程双链,来得到一个进程列表. 但是,这个链表中有些进程其实是已经退出的进程. 因此,在得到一个EPROCESS之后,必须对其进行识别,判断其是否已经退出. 通过对一死一活两个进程的EPROCESS的对比,发现以下标志可以用作判断进程是否退出的标准.
战神伽罗
2020-12-31
1.1K0
fs 的一些参考
经常在r3 下调试经常会看到 mov eax,fs:[18h] ;获取TEP 其实就只指向自己fs:[0] mov eax,[eax+30h] ;获取PEB 这样的语句。 fs段在用户模式(R3)和系统模式(R0)分别指向两个最重要的系统结 构: Ring3: fs --> TEB (Thread Environment Block)结 构表 --> 7FFDE000即“线程环境块”。 Ring0: fs --> KPCR (Kernel Processor Control Region) 结构表 --> FFFDF000 即“内核处理器控制域”。 通常在其r3 下fs被用于获取kernel32.dll的基地址 或者其他有关于程序线程和进程的信息。 以下是一些参考资料 FS:[0x00] Win9x and NT Current SEH frame FS:[0x04] Win9x and NT Top of stack FS:[0x08] Win9x and NT Current bottom of stack FS:[0x10] NT Fiber data FS:[0x14] Win9x and NT Arbitrary data slot FS:[0x18] Win9x and NT Linear address of TIB(TEB--- 也叫做线程信息块 TIB) FS:[0x20] NT Process ID FS:[0x24] NT Current thread ID FS:[0x2C] Win9x and NT Linear address of the thread local storage array FS:[0x30] Pointer to PEB FS:[0x34] NT Current error number FS:[0x38] CountOfOwnedCriticalSections FS:[0x3c] CsrClientThread FS:[0x40] Win32ThreadInfo FS:[0x44] Win32ClientInfo[0x1f] FS:[0xc0] WOW32Reserved FS:[0xc4] CurrentLocale FS:[0xc8] FpSoftwareStatusRegister FS:[0xcc] SystemReserved1[0x36] FS:[0x1a4] Spare1 FS:[0x1a8] ExceptionCode FS:[0x1ac] SpareBytes1[0x28] FS:[0x1d4] SystemReserved2[0xA] FS:[0x1fc] GDI_TEB_BATCH FS:[0x6dc] gdiRgn FS:[0x6e0] gdiPen FS:[0x6e4] gdiBrush FS:[0x6e8] CLIENT_ID FS:[0x6f0] GdiCachedProcessHandle FS:[0x6f4] GdiClientPID FS:[0x6f8] GdiClientTID FS:[0x6fc] GdiThreadLocaleInfo FS:[0x700] UserReserved[5] FS:[0x714] glDispatchTable[0x118] FS:[0xb74] glReserved1[0x1A] FS:[0xbdc] glReserved2 FS:[0xbe0] glSectionInfo FS:[0xbe4] glSection FS:[0xbe8] glTable FS:[0xbec] glCurrentRC FS:[0xbf0] glContext FS:[0xbf4] NTSTATUS FS:[0xbf8] StaticUnicodeString FS:[0xc00] StaticUnicodeBuffer[0x105] FS:[0xe0c] DeallocationStack FS:[0xe10] TlsSlots[0x40] FS:[0xf10] TlsLinks FS:[0xf18] Vdm FS:[0xf1c] ReservedForNtRpc FS:[0xf20] DbgSsReserved[0x2] FS:[0xf28] HardErrorDisabled FS:[0xf2c] Instrumentation[0x10] FS:[0xf6c] WinSockData FS:[0xf70] GdiBatchCount FS:
战神伽罗
2020-12-09
9560
看完秒懂,“数字签名”入侵那点事儿!
关于可信代码数字签名如何计算PE文件哈希值的细节,参阅本文档后面的“Calculating the PE Image Hash”。
战神伽罗
2020-07-03
2.6K0
X509证书结构
version [0] EXPLICIT Version DEFAULT v1, --证书版本号
战神伽罗
2020-07-03
1.3K0
What are x509 certificates? RFC? ASN.1? DER?
So, RFC means Request For Comments and they are a bunch of text files that describe different protocols. If you want to understand how SSL, TLS (the new SSL) and x509 certificates (the certificates used for SSL and TLS) all work, for example you want to code your own OpenSSL, then you will have to read the corresponding RFC for TLS: rfc5280 for x509 certificates and rfc5246 for the last version of TLS (1.2).
战神伽罗
2020-07-03
8650
Delphi 编写 数字签名验证 并获取签名信息
一个客户想通过编程实现验证程序自身的数字签名来确保程序的完整性,防范病毒感染以及防止一些无聊人士的修改(通过十六进制编辑器替换一些版权、网址、LOGO..); 为此我做了一个数字签名验证的小例子,其中也有获取签名者信息的方法,以满足“自验证”的需求。
战神伽罗
2020-06-16
2.1K0
Delphi xe使用TJSONObject解析JSON数据
在Delphi 10 Seattle中重写 “ 使用TJSONObject分析JSON数据 ”。
战神伽罗
2020-06-05
3.7K0
使用WinHttpRequest伪造referer
从msdn得知,WinHttp.WinHttpRequest.5.1 是 msxml 4.0 的底层对象,也就是说 XMLHTTP/ServerXMLHTTP 也是在它的基础上封装而来。用 WinHttpRequest 发的请求,连 Fiddler 也监测不到,看来确实是比较底层的东西。
战神伽罗
2020-05-25
2.9K0
KeUserModeCallback用法详解(Ring0调用Ring3代码)
ring0调用ring3早已不是什么新鲜事,除了APC,我们知道还有KeUserModeCallback.其原型如下: 代码:
战神伽罗
2020-03-19
2K0
10大开源安全信息和事件管理SIEM工具
企业应该投资并部署开源SIEM(安全信息和事件管理)工具吗?SIEM是现代企业网络安全的重要组成部分。实际上,SIEM解决方案提供了关键的IT环境保护和合规性标准实现。只有通过日志管理,安全分析和关联以及报告模板,企业才能抵御现代网络攻击。
战神伽罗
2019-11-27
3.8K0
Win64 驱动内核编程-7.内核里操作进程
在内核里操作进程,相信是很多对 WINDOWS 内核编程感兴趣的朋友第一个学习的知识点。但在这里,我要让大家失望了,在内核里操作进程没什么特别的,就标准方法而言,还是调用那几个和进程相关的 NATIVE API 而已(当然了,本文所说的进程操作,还包括对线程和 DLL 模块的操作)。本文包括 10 个部分:分别是:枚举进程、暂停进程、恢复进程、结束进程、枚举线程、暂停线程、恢复线程、结束线程、枚举 DLL 模块、卸载 DLL 模块。
战神伽罗
2019-11-19
1.6K0
点击加载更多
社区活动
【纪录片】中国数据库前世今生
穿越半个世纪,探寻中国数据库50年的发展历程
Python精品学习库
代码在线跑,知识轻松学
博客搬家 | 分享价值百万资源包
自行/邀约他人一键搬运博客,速成社区影响力并领取好礼
技术创作特训营·精选知识专栏
往期视频·千货材料·成员作品 最新动态
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档