定位KeIpiGenericCall函数地址

拿到一份PE文件，从何处开始下手呢？当文件不是很大时，从头到尾式的分析方法勉强可以承受不会消耗太多时间，但是当文件大小是上百kb或者更大时，我们就要调整一下策略了。分析恶意文件的目的就是要弄清它要干什么，怎么干的，利用了那些系统的机制或缺陷漏洞；比较熟悉时还可以想想处理办法，自己试着还原部分重要的工作。

膜拜一下 #include ULONG d_origKiFastCallEntry; // Original value of ntoskrnl!KiFastCallEntry VOID OnUnload( IN PDRIVER_OBJECT DriverObject ) { DbgPrint("ROOTKIT: OnUnload called\n"); } __decl

首先，minifilter有!fltkd.的命令，ndis有!ndiskd.的命令，但是WFP却没有类似的命令。 尽管有netsh wfp的命令和类似的接口/API(FwpmEnum)，但是都没有获取到注册的函数的. 有些用户，包括自己，是尽量想获取到注册的函数，而不止是那些注册的信息。 所以，出现了本文。 分析的办法有二， 一正向分析，分析注册的函数（FwpsCalloutRegister），步步跟踪。 二逆向分析，在注册的函数上下断点，根据调用栈步步向上逆向跟踪。 上面是引子 下面是方案

同步问题在安全领域用的最多的地方无疑是在做Inline-HOOK时。 　　一直以来，包括现在，很多程序都在使用： 　　KeInitializeSpinLock 　　KeAcquireSpinLock 　　KeReleaseSpinLock 　　来进行同步处理，调用这个自旋锁在会提升IRQL到DPC级别来屏蔽线程切换，在单核下这是有效的，这点大家是有共识的。 　　 　　但在多核下，DP

WIN7 X86。

关于DPC的 文章 留着备用 原文地址 http://www.doudouxitong.com/guzhang/xitongjiqiao/2014/0404/901.html 　　DPC不同APC，DPC的全名是‘延迟过程调用’。 　　DPC最初作用是设计为中断服务程序的一部分。因为每次触发中断，都会关中断，然后执行中断服务例程。由于关中断了，所以中断服务例程必须短小精悍，不

好久没发代码了,发个以前写的东西,代码是照葫芦画瓢来的,共同学习,共同进步,欢迎拍砖. 代码: #ifndef _SAFENOTIFYROUTINE_H #define _SAFENOTIFYROUTINE_H /************************************************************************/ /**************

引子 WRK是微软于 2006 年针对教育和学术界开放的Windows内核的部分源码， WRK（Windows Research Kernel）也就是Windows研究内核， 在WRK中不仅仅只提供了Windows内核模块的部分代码，其还提供了编译工具， 也就是通过这个编译工具，你可以将你的WRK编译成一个EXE文件， 也就是内核可执行模块，然后你可以利用这个...

#include <ntddk.h> #define PAGEDCODE code_seg(“PAGE”) #define LOCKEDCODE code_seg() #define INITCODE code_seg(“INIT”) #define PAGEDDATA data_seg(“PAGE”) #define LOCKEDDATA data_seg() #define INI...

Linux内核调试技术

虚存页面的映射 有了对一个虚存空间的管理和对物理页面的分配管理。下一步自然就是建立二者之间的映射了。页面映射，指从虚存页面到物理页面的映射。多个虚存页面可以映射到同一个物理页面上(例如系统那里，SharedUserData就是内核和用户空间的一块虚拟空间映射到了同一物理页面上)，但是同一时间内不可能会有多个物理页面对应于同一个空间的同一个虚存页面上。 虚存页面顾名思义是“虚”的，必须通过映射落实到...

一、WinDbg是什么？它能做什么？ 　　WinDbg是在windows平台下，强大的用户态和内核态调试工具。它能够通过dmp文件轻松的定位到问题根源，可用于分析蓝屏、程序崩溃（IE崩溃）原因，是我们日常工作中必不可少的一个有力工具，学会使用它，将有效提升我们的问题解决效率和准确率。 二、WinDbg6.12.0002.633下载： x86位版本下载：【微软官方安装版】 蓝屏Du...

相信很多用过IAR编译器的朋友都会遇到过一个很恶心的问题，那就是无法Go to Definition 问题，定位不到函数或关键字，这真的是IAR的一个bug，我个人认为有可能是因为我用的盗版的iar编译器的问题； 问题解决办法：打开你的工程文件位置，找到OBJ的文件夹，将里面的所有文件删除，然后再定位就可以定位到了！很好用。我也不知道为什么！！！

驱动开发中，与SetTimer()对应的函数是KeSetTimer(): BOOLEAN KeSetTimer( _Inout_ PKTIMER Timer, ///---定时器 _In_ LARGE_INTEGER DueTime, ///---延后执行的时间 _In_opt_ PKDPC Dpc ///---要执行的回调函数结构 )

-DPC(延迟过程调用)的细节 NTINSIDER，16卷，1期，1至2月2009 延迟过程调用（DPC）是一种Windows常用功能。用途是广泛和多样的，但最常用的是我们通常所说的“ISR完成”和WindowsTimer底层技术。    如果DPC常用，为什么还要写此篇？我们发现，大多数人并不真正了解DPC工作的底层实现细节。并且，事实证明，一个深入的理解，在选择选项创建DPC

本章利用讲EPT无痕HOOK

动态定位 API函数1

    DPC是Deferred Procedure Call，推迟的过程调用。内核中每个CPU都有一个DPC请求队列，DPC请求队列在每个CPU的PRCB数据结构中     设备对象的数据结构DEVICE_OBJECT中有个成分Dpc，它是KDPC数据结构，用来设置有关本设备对象的DPC函数的信息。 ntdll!_KDPC +0x000 Type : In

定位未导出的函数地址（SHCreateProcess） 搬运自我的百度空间，文章基于windows7 64位   我们要Hook shell32.dll的SHCreateProcess这个函数，苦于他没有被导出，也无从知道地址。 其实我们还是有办法的。windbg有功能叫做栈回朔技术，可以看到函数的调用者，函数的调用者的调用者，函数的调用