保护模式总结

2018-4-11 流沙 保护模式学习总结

阅读全文>>

评论(0) 浏览(195)


一点安排(一个月)

2018-4-9 流沙 读书

学习完保护模式, 看内核的课程,直接挂掉!! 缺少IDA的知识和C逆向的熟练程度, 准备看看书了, 三本书     一本一本的来, 希望可以做三套视频课程, 分享出去, 算对学习的一些总结!!

阅读全文>>

评论(2) 浏览(300)


lsass.exe占用cpu

2018-4-9 流沙 运维

一打开浏览器 lsass.exe 占用 25%  解决方式: 进入cmd 运行 RD /s /q "%USERPROFILE%\AppData\Roaming\Microsoft\Protect"

阅读全文>>

评论(0) 浏览(156)


ret,retf,iret等的区别

2018-4-4 流沙 保护模式学习总结

ret:也可以叫做近返回,即段内返回。处理器从堆栈中弹出IP或者EIP,然后根据当前的CS:IP跳转到新的执行地址。如果之前压栈的还有其余的参数,则这些参数也会被弹出。   retf:也叫远返回,从一个段返回到另一个段。先弹出堆栈中的IP/EIP,然后弹出CS,有之前压栈的参数也会弹出。(近跳转与远跳转的区别就在于CS是否压栈。)   iret:用于从中断返回,会弹出IP/EIP,然后CS,以及一些标志。然后从CS:IP执行。   iretw:先后弹出IP,CS和标志位,每次都以2个字节为一个单位...

阅读全文>>

评论(0) 浏览(175)


TLB实验

2018-3-27 流沙 保护模式学习总结

0x001 实验环境 xp3 2-9-9-12 分页环境 0x002 时间代码 // 20180327_01.cpp : Defines the entry point for the console application. // #include "stdafx.h" #include <stdio.h> #include <windows.h> DWORD zero, one, two; __declspec(naked) void MountPageOnNull() { ...

阅读全文>>

评论(0) 浏览(181)


PAE分页下的PDT-PTT基址

2018-3-27 流沙 保护模式学习总结

PDE 和 PTE 地址计算公式 为了先入为主,这里直接给出访问一个线性地址的 PDE 和 PTT 的计算公式。PAE分页,把线性地址分成了四段,即PDPTI-PDI-PTI-OFFSET. 如果要找出这个线性地址对应的 PDE 和 PTE 的位置,可以使用下面的计算公式。 公式一不过,我们可以采用更简洁的方式来计算PDE和PTE的位置,这种方式不需要事先计算 PDPTI、PDI 和 PTI。 公式二 // addr 存放的是线性地址 pPDE = (int*)(0xc0600000 + ((addr >> 18...

阅读全文>>

评论(0) 浏览(153)


PDT/PTT基址

2018-3-26 流沙 保护模式学习总结

知道了PDT和PTT的基址,那么PDE和PTE的基址就很容易得到,只要加上偏移就行了。 如果一个线性地址被拆分成三段式PDI-PTI-OFFSET,则有: PDE 的基址 // 第 PDI 个 PDE 的基址 PDT[PDI] = 0xc0300000 + PDI * 4 1 2 PTE 的基址 // 第 PDI 个 PDE 指向的 PTT 中的第 PTI 个 PTE 的基址 PTE[PTI] = 0xc0000...

阅读全文>>

评论(0) 浏览(132)


PDE与PTE

2018-3-25 流沙 保护模式学习总结

从上面的结构,发现 PDE 和 PTE 的结构基本上差不多,但是有个别比如第 7 位就不一样。 属性含义 P:有效位。0 表示当前表项无效。 R/W: 0 表示只读。1表示可读写。 U/S: 0 表示特技用户可访问,1表示普通用户可访问。 A: 0 表示该页未被访问,1表示已被访问。 D: 脏位。0表示该页未写过,1表示该页被写过。 PS: 只存在于页目录表。0表示这是4KB页,指向一个页表。1表示这是4MB大页,直接指向物理页。 PWT、PCD、G:暂不...

阅读全文>>

评论(0) 浏览(117)


任务门测试实验

2018-3-23 流沙 保护模式学习总结

0x001 部署环境 eq 8003f500 0000e500`00c30000 eq 8003f0c0 0000e912`fdcc0068 0x002 测试代码 // 20180323_01.cpp : Defines the entry point for the console application. // #include "stdafx.h" #include <windows.h> #include <stdio.h> DWORD dwOK; DWORD dwESP; DWORD dwCS;...

阅读全文>>

评论(0) 浏览(136)


TSS切换实验

2018-3-22 流沙 保护模式学习总结

0x001 TSS的基础知识 TSS是一段内存结构 char st[10] = {0}; // st 的地址是 0042b034 TSS tss = {// tss的地址是 0x00427b40 0x00000000,//link (DWORD)st,//esp0 0x00000010,//ss0 0x00000000,//esp1 0x00000000,//ss1 0x00000000,//esp2 0x00000000,//ss2 0x00000000,//cr3 0x0040...

阅读全文>>

评论(0) 浏览(143)


神秘巨星 颁奖背景音乐

2018-3-21 流沙 随笔

http://5sing.kugou.com/bz/3006614.html

阅读全文>>

评论(0) 浏览(112)


关于现在的状态

2018-3-20 流沙 随笔

[该文章已设置加密,请点击标题输入密码访问]

评论(0) 浏览(2)


【转载】中断门提权测试

2018-3-19 流沙 保护模式学习总结

原文地址: http://blog.csdn.net/q1007729991/article/details/52644720 除了使用调用门进行提权,本篇的中断门显的更加重要。因为在 Windows 中,大量使用了中断门。 中断门的结构 | 7 | 6 | 5 | 4 | 3 | 2 | 1 | 0 | 字节 |76543210|76543210|7 65 4 3210|76543210|76543210|76543210|76543210|76543210| 比特 |-----------------|1|--|0|1110|-...

阅读全文>>

评论(0) 浏览(137)


IDT详解

2018-3-19 流沙 保护模式学习总结

IDT,Interrupt Descriptor Table,中断描述符表是CPU用来处理中断和程序异常的。 一、有关IDT的基本知识 1、中断时一种机制,用来处理硬件需要向CPU输入信息的情况。 比如鼠标,键盘等。 2、中断和异常的产生是随机的,在CPU正常运行过程中随时可能产生。CPU的中断处理机制 3、中断可以由硬件产生(称为外部中断),也可以由软件产生(称为内部中断),在程序中写入int n指令可以产生n号中断和异常(n从0-ffh)。 4、同时CPU的中断异常机制还是重要特性的支...

阅读全文>>

评论(0) 浏览(125)


调试门测试(四) 简单总结

2018-3-18 流沙 保护模式学习总结

1) 当通过门,权限不变的时候,只会PUSH两个值:CS  返回地址 新的CS的值由调用门决定 2) 当通过门,权限改变的时候,会PUSH四个值:SS ESP CS  返回地址   新的CS的值由调用门决定  新的SS和ESP由TSS提供 3) 通过门调用时,要执行哪行代码有调用门决定,但使用RETF返回时,由堆栈中压人的值决定,这就是说,进门时只能按指定路线走,出门时可以翻墙(只要改变堆栈里面的值就可以想去哪去哪) 4) 可不可以再建个门出去呢?也就是用Call  当然可以了 前门进 后门出

阅读全文>>

评论(0) 浏览(136)


Powered by 流沙团