生存者的百度空间

文章列表

2008-12-29 16:44

用Bochs调试NTLDR

作者：于D（tombkeeper[0x40]nsfocus[0x2e]com）
主页：http://www.nsfocus.com
日期：2004-08-05

对一台安装了Windows NT 系列操作系统的PC来说，按下电源开关之后，CPU中首
先开始运行的是Bios，然后是MBR，接着是引导扇，然后就是NTLDR。ntoskrnl.exe和
hal.dll 都是由NTLDR来加载的。也就是说，运行NTLDR的时候，系统中还没有任何应
用程序或者驱动，当然也就没有任何基于软件的调试器可用。当然，无所不能的硬件
调试

阅读全文>>

类别：文章收集 | 评论(1) | 浏览()

驱动错误码对照表

2008-11-18 00:39

00000000 STATUS_SUCCESS
00000000 STATUS_WAIT_0
00000001 STATUS_WAIT_1
00000002 STATUS_WAIT_2
00000003 STATUS_WAIT_3
0000003F STATUS_WAIT_63
00000080 STATUS_ABANDONED
00000080 STATUS_ABANDONED_WAIT_0
000000BF STATUS_ABANDONED_WAIT_63
000000C0 STATUS_USER_APC
00000100 STATUS_KERNEL_APC
00000101 STATUS_ALERTED
00000102 STATUS_TIMEOUT
00000103 STATUS_PENDING
00000104 STATUS_REPARSE
00000105 STATUS_MORE_ENTRIES
00000106 STATUS_NOT_ALL_ASSIGNED
00000107 STATUS_SOME_NOT_MAPPED
00000108 STA

阅读全文>>

类别：参考资料 | 评论(0) | 浏览()

NT下动态切换进程分析笔记<ZT>

2008-10-29 17:23

在应用层想要动态嵌入其他进程内存空间，我们可以调用 CreateRemoteThread()
等相关函数来实现。那么在内核态想要动态嵌入其他进程内存空间又如何做呢？这时
我们需要调用一个未公开的内核函数 KeAttachProcess()，利用这个函数我们可以在
内核态实现将代码插入到其他进程地址空间中。下面是一段演示代码。

NTSTATUS PsLookupProcessByProcessId( IN ULONG ulProcId, OUT PEPROCESS * pEProcess);
VOID KeAttachProcess ( IN PEPROCESS pEProcess );
VOID KeDetachProcess ( VOID );

阅读全文>>

类别：文章收集 | 评论(3) | 浏览()

Windows内存隐藏技术初探<zt>

2008-10-29 11:52

标题: 【原创】Windows内存隐藏技术初探
作者: NetRoc
时间: 2007-12-17,11:30
链接: http://bbs.pediy.com/showthread.php?t=56689

NetRoc/cc682

最早看到Shadow Walker这种隐藏内

阅读全文>>

类别：文章收集 | 评论(2) | 浏览()

NT 内核的进程调度分析笔记<ZT>

2008-08-25 16:23

NT 内核的进程调度分析笔记
文章作者：sinister
信息来源：白细胞

Author: sinister
Email: sinister@whitecell.org
Homepage:http://www.whitecell.org
Date: 2005-11-16

2005-2-15

众所周知 nt kernel 是多任务抢占试方式运行的，在非 SMP 系统上，每个进程分配特
定的CPU 时间片来达到执行目的，这样看上去就象多个任务在同时运行。而 nt kernel
又是以线程调度为核心的，这样线程切换了也就

阅读全文>>

类别：文章收集 | 评论(1) | 浏览()

从IRQ到IRQL(PIC版)ZT

2008-08-22 14:06

从IRQ到IRQL(PIC版) 注：转自安焦

阅读全文>>

类别：文章收集 | 评论(1) | 浏览()

利用镂空制作特效界面<ZT>

2008-08-21 13:17

windows sdk编程系列文章 ---- 利用镂空制作特效界面

2008-08-01 15:29 http://hi.baidu.com/combojiang

理论：

平时我们经常看到一些不规则的

阅读全文>>

类别：文章收集 | 评论(0) | 浏览()

AK922: 突破磁盘低级检测实现文件隐藏<ZT>

2008-08-20 18:34

创建时间：2007-09-18
文章属性：原创
文章提交：Azy (aawwppeerr_at_126.com)

AK922: 突破磁盘低级检测实现文件隐藏
作者：Azy
email: Azy000@gmail.com
完成于：2007-08-08

目前，一些已公开的主流anti-rootkit检测隐藏文件主要有两种方法：第一种是文件系统层的检测，属于这一类的有icesword，darkspy，gmer等。第二种便是磁盘级别的低级检测（Disk Low-Level Scanning

阅读全文>>

类别：文章收集 | 评论(2) | 浏览()

Windows 2000/XP/2003当中的句柄表格式(1) - 2000句柄表格式<ZT>

2008-08-05 19:06

Windows 2000/XP/2003当中的句柄表格式(1) - 2000句柄表格式- -

Windows 2000句柄表格式

版大暗示我需要交一篇原创了。工作以后天天搞一些Web上面的开发，很久没有研究内核了。翻翻以前自己的手记，拼凑了

阅读全文>>

类别：文章收集 | 评论(0) | 浏览()

WINDOWS错误代码查询（8501－10112）

2008-07-01 11:55

8501 不允许在将 NC 头作为子体的对象开始删除目录树。
8502 因为目录树在使用中，目录服务未能为删除目录树而将其锁定。
8503 删除目录树时，目录服务未能识别要删除的对象列表。
8505 只有管理员才能修改管理组的成员列表。
8506 不能改变域控制器帐户的主要组 ID。
8507 试图修改基础架构。
8508 不允许进行下列操作: 为现有类别添加新的强制属性；从现有类别删除强制属性；为没有向回链接

属性的特殊类别 "Top" 添加可选属性，向回链接属性指的是直接或通过继

阅读全文>>

类别：参考资料 | 评论(0) | 浏览()