什么是句柄?句柄是一种内核对象,当一个进程创建或者打开一个内核对象时,就会获得一个句柄,通过这个句柄就可以访问内核对象。而句柄并不是高2G内存,他是一个索引,通过这个所以我们可以在内核轻松找到对应的内...
进程与线程-EPROCESSÐREAD&KPCR
_EPROCESS一个进程对应一个_EPROCESS,该结构体是一环的概念,三环为PEB。kd> dt _EPROCESSntdll!_EPROCESS +0x000 Pcb : _KPROCE...
NtCreateUserProcess 初探与玩法
前置知识基于一些github的代码项目能更好的理解 首先我们先来了解一下,CreateProcess 和 NtCreateUserprocess。在以前的 XP 时代,必须执行四个系统调用(NtOpe...
讲义,水文章。。。
Fridahttps://frida.re/使用 Frida 生成新进程frida c:windowssystem32notepad.exe附加到现有进程frida -p 10964hook.js:以...
【系统底层】从内核角度认识反调试基本原理
作者论坛账号:ICEY从内核角度认识反调试基本原理概述反调试、反反调试 两种技术同根同源,原理基本一致, 本篇文章将以内核的角度,探究 调试与未被调试情况下 EPROCESS、PEB下各个标志位的区别...
从内核角度认识反调试基本原理
概述反调试、反反调试 两种技术同根同源,原理基本一致, 本篇文章将以内核的角度,探究 调试与未被调试情况下 EPROCESS、PEB下各个标志位的区别,认识简单反调试技术的基本原理,本文章讨论的是基础...
技术干货 | 初探栈溢出
本公众号发布的文章均转载自互联网或经作者投稿授权的原创,文末已注明出处,其内容和图片版权归原网站或作者本人所有,并不代表安世加的观点,若有无意侵权或转载不当之处请联系我们处理,谢谢合作!欢迎各位添加微...
初探栈溢出
0x01 HEVD介绍 HEVD全称为HackSys Extreme Vulnerable Drive,是一个项目,故意设计包含多种漏洞的驱动程序,旨在帮助安全爱好者来提升他们在内核层面的漏洞利用能力...
绕过Windows 10 PPL保护(Protected Process Light)!
简介PPL全称,Protected Process Light ,是从windows8.1开始引入的一种安全机制,它能保护关键进程不被恶意代码入侵、篡改、和利用。换句话说就是系统给进程分了个级别,受P...
深入理解进程线程
进程 进程结构体 在操作系统层面上,进程本质上就是一个结构体,当操作系统想要创建一个进程时,就分配一块内存,填入一个结构体,并为结构体中的每一项填充一些具体值。 而这个结构体,就是EPROCESS。每...