9.3 Windows驱动开发:内核解析PE结构节表
在笔者上一篇文章《内核解析PE结构导出表》介绍了如何解析内存导出表结构,本章将继续延申实现解析PE结构的PE头,PE节表等数据,总体而言内核中解析PE结构与应用层没什么不同,在上一篇文章中LyShark封装实现了KernelMapFile()内存映射函数,在之后的章节中这个函数会被多次用到,为了减少...
9.2 Windows驱动开发:内核解析PE结构导出表
在笔者的上一篇文章《内核特征码扫描PE代码段》中LyShark带大家通过封装好的LySharkToolsUtilKernelBase函数实现了动态获取内核模块基址,并通过ntimage.h头文件中提供的系列函数解析了指定内核模块的PE节表参数,本章将继续延申这个话题,实现对PE文件导出表的解析任务,...
2022年中职“网络安全“江西省赛题解析—B-1:Windows操作系统深入
B-1:Windows操作系统深入测试任务环境说明:ü 服务器场景:Server2105(关闭链接)ü 服务器场景操作系统:Windows(版本不详)这题和21年江西省赛是一样的,如果大家需要解析,参考:https://blog.csdn.ne...
![[笔记]深入解析Windows操作系统《四》管理机制(三)](https://ucc.alicdn.com/pic/developer-ecology/sdkix663ld2go_0e07898025da44ff9350ecaae3280745.png)
[笔记]深入解析Windows操作系统《四》管理机制(三)
巢室映射表如果储巢从来不增长,那么,配置管理器就可以在一个储巢的内存版本中执行所有的注册表管理工作,就好像该储巢是一个文件一样。给定一个巢室索引,配置管理器只需简单地将巢室索引 (即在储巢文件中的偏移) 加到内存中储巢映像的基地址上,就可以计算出该巢室在内存中的位置。在系统引导的早期Winload对...
![[笔记]深入解析Windows操作系统《四》管理机制(二)](https://ucc.alicdn.com/pic/developer-ecology/sdkix663ld2go_3b376077212e4261adf1fdb0da7ff39d.png)
[笔记]深入解析Windows操作系统《四》管理机制(二)
HKEY_CURRENT_CONFIGHKEY_CURRENT_CONFIG只是一个链接,指向HKLM\SYSTEM\CurrentControlSet\ HardwareProfiles\Current下的当前硬件轮廓。Windows不再支持硬件轮廓,但是该键仍然存在,以便支持那些遗留下来的、可能...
![[笔记]深入解析Windows操作系统《四》管理机制(一)](https://ucc.alicdn.com/pic/developer-ecology/sdkix663ld2go_bbf93f9bbd4e4dd9b7eca2ef8bfecd05.png)
[笔记]深入解析Windows操作系统《四》管理机制(一)
前言本章讲述了Microsoft Windows操作系统中四种基本的机制,它们对于系统的管理和配置至关重要,它们是:注册表服务统一的背景进程管理器Windows管理设施Windows诊断基础设施4.1 注册表注册表在Windows系统的配置和控制方面扮演了一个非常关键的角色。它既是系统全局设置的存储...
![[笔记]深入解析Windows操作系统《三》系统机制(八)](https://ucc.alicdn.com/pic/developer-ecology/sdkix663ld2go_98b9d2699cad4b7486c4477327128c33.png)
[笔记]深入解析Windows操作系统《三》系统机制(八)
3.12 内核事务管理器软件开发的一项琐碎任务是处理各种错误条件。在有些情况下尤是如此,譬如在执行一个高层的操作过程中,应用程序已经完成了一个或多个导致文件系统或注册表发生变化的子任务。例如,一个应用程序的软件更新服务可能要进行多次注册表更新动作,再替换该应用程序的一个可执行文件,然后当它试图更新第...
![[笔记]深入解析Windows操作系统《三》系统机制(七)](https://ucc.alicdn.com/pic/developer-ecology/sdkix663ld2go_2207622735904e048b8ad7f52a4d0dce.png)
[笔记]深入解析Windows操作系统《三》系统机制(七)
启发式增强(Enlightenment)启发式增强是Windows虚拟化所采用的一种关键的性能优化手段。它们是对标准的Windows内核代码的直接修改,通过这些修改可以检测到当前操作系统正运行在一个子分区中,从而可以以不同的方式进行工作。通常,这些优化是与硬件高度相关的,它们会导致一次超级调用,以便...
![[笔记]深入解析Windows操作系统《三》系统机制(六)](https://ucc.alicdn.com/pic/developer-ecology/sdkix663ld2go_810117c50ad9450cad6dac04a4846c23.png)
[笔记]深入解析Windows操作系统《三》系统机制(六)
实验:观察DLL加载搜索顺序加载器维护了一份包含所有已被一个进程加载的模块(DLL以及基本的可执行文件)的列表。此信息被保存在一个称为进程环境块(PEB,Process Environment Block)的结构中(此PEB结构针对每个进程,关于PEB的完整描述,参见第5章),实际上是在一个由Ldr...
![[笔记]深入解析Windows操作系统《三》系统机制(五)](https://ucc.alicdn.com/pic/developer-ecology/sdkix663ld2go_ed64fd2bf9dc4e019f279f2ed57143a8.png)
[笔记]深入解析Windows操作系统《三》系统机制(五)
性能ALPC使用几种策略来改进性能,主要通过支持完成列表(前面已经粗略地介绍过)来做到。在内核层次上,完成列表本质上是一个用户MDL:它已经被探查〈 probe)过,并且被锁定,然后映射到一个地址上。(有关内存描述符列表——Memory Descriptor List的更多信息,参见本书下册第10章...
本页面内关键词为智能算法引擎基于机器学习所生成,如有任何问题,可在页面下方点击"联系我们"与我们沟通。
