|
|
![]() |
Циклы:
| Win32™ SEH изнутри |
|
Matt Pietrek / пер. Oleg_SK, SI - Win32™ SEH изнутри (ч.1)
(5)
(печать) /11.08.2005/
|
Хитов: 3125 |
В своей основе, структурная обработка исключений – это сервис, предоставляемый системой. Вся документация по SEH, которую вы, вероятно, найдете, описывает одну лишь компиляторно-зависимую оболочку, созданную RTL вокруг реализации SEH операционной системы. Я здесь рассмотрю самые фундаментальные концепции SEH.
|
|
Matt Pietrek / пер. Oleg_SK, SI - Win32™ SEH изнутри (ч.2)
(0)
(печать) /11.08.2005/
|
Хитов: 1715 |
Пока я редко упоминал слова _try и _except, так как всё, что я описывал до сих пор, реализуется на уровне ОС.
|
|
Matt Pietrek / пер. Oleg_SK, SI - Win32™ SEH изнутри (ч.3)
(3)
(печать) /11.08.2005/
|
Хитов: 1518 |
Перед тем как погрузиться в код, осуществляющий раскрутку (unwinding), давайте кратко обсудим, что это собственно такое.
|
| Перехват API функций в Windows NT |
|
Ms-Rem - Перехват API функций в Windows NT (часть 1). Основы перехвата.
(19)
(печать) /16.05.2005/
|
Хитов: 9602 |
В настоящее время широчайшую распостраненность поличили операционные системы семейства Windows NT/20000/XP. Они широко используются не только как домашние системы, но и в качестве серверов. Эта линейка ОС отличается неплохой защищенностью от вредоносных программ, а так-же для нее существует большое количество дополнительных систем безопасности (различные антивирусы, фаерволлы). Установив антивирус и фаерволл многие пользователи думают, что они стопроцентно защищены, и даже большинство программистов считают, что достаточно почаще проверять свой компьютер на подозрительные вещи (автозагрузка, процессы и.т.д.) и никокая вредоносная программа к ним не сможет проникнуть. В большинстве случаев это действительно так, 99% троянов до сих пор загружаются через HKLM/Run, и для скрытности имеют названия вроде WinLoader32.exe. Глядя на это мне просто смешно становиться. Это дело нужно срочно исправлять, поэтому я написал этот цикл из трех статей, в которых описываются методы перехвата API функций в системах линейки Windows NT на всех возможных уровнях.
|
|
Ms-Rem - Перехват API функций в Windows NT (часть 2). Методы внедрения кода.
(18)
(печать) /16.05.2005/
|
Хитов: 5207 |
В этой статье мы рассмотрим более эффективные способы перехвата, а в особенности приёмы написания внедряемого кода. Также в конце статьи я рассмотрю альтернативные методы внедрения кода в чужой процесс.
|
|
Ms-Rem - Перехват API функций в Windows NT (часть 3). Нулевое кольцо.
(33)
(печать) /16.05.2005/
|
Хитов: 6474 |
Как известно, в процессорах серии X86 и совместимых с ними присутствует аппаратная поддержка многозадачности и защиты. Код может исполняться на одном
из четырех уровней (колец) защиты. Наиболее привилегированным является нулевое
кольцо, наименее привилегированным - третье. В нулевом кольце можно все:
доступны привилегированные команды, порты ввода-вывода, и вся память.
|
| Драйверы режима ядра |
|
Four-F - Драйверы режима ядра: Часть 1: Основные понятия
(12)
(печать) /20.11.2002/
|
Хитов: 3962 |
Начало цикла о драйверах для Windows 2000.
|
|
Four-F - Драйверы режима ядра: Часть 2: Службы
(10)
(печать) /29.11.2002/
|
Хитов: 2678 |
Службы (Services)- это процессы пользовательского режима, для запуска и функционирования которых, регистрация интерактивного пользователя в системе не требуется. И поэтому, подавляющее большинство служб не имеют пользовательского интерфейса. Это единственная категория пользовательских приложений, которые могут работать в таком режиме.
|
|
Four-F - Драйверы режима ядра: Часть 3: Простейшие драйверы
(12)
(печать) /18.12.2002/
|
Хитов: 4239 |
Вот мы и добрались до исходного текста простейших драйверов. Полнофункциональные нас ждут впереди.
|
|
Four-F - Драйверы режима ядра: Часть 4: Подсистема ввода-вывода
(4)
(печать) /12.01.2003/
|
Хитов: 1596 |
Код драйвера, по сути, является набором функций, позволяющих решать задачи недоступные коду режима пользователя. Для вызова функций драйвера система предоставляет посредника в лице диспетчера ввода-вывода.
|
|
Four-F - Драйверы режима ядра: Часть 5: Полнофункциональный драйвер
(19)
(печать) /21.01.2003/
|
Хитов: 1750 |
Пришло, наконец, время взглянуть на то, к чему мы так долго стремились. Практически вся основная теория уже позади. Поэтому, сразу приступаем к разбору исходного текста драйвера, программу управления которым мы писали в прошлой статье.
|
|
Four-F - Драйверы режима ядра: Часть 6: Базовая техника: Работа с памятью. Использование системных куч
(6)
(печать) /02.10.2003/
|
Хитов: 1138 |
С этой статьи мы начинаем разбирать некоторые базовые техники, без которых трудно представить себе создание мало-мальски полезного драйвера. Работу с памятью рассмотрим в первую очередь.
|
|
Four-F - Драйверы режима ядра: Часть 7: Работа с памятью. Использование ассоциативных списков
(0)
(печать) /27.10.2003/
|
Хитов: 1277 |
Операция выделения памяти из системных пулов требует времени, т.к.
диспетчер куч пытается подобрать свободный блок подходящего размера.
Так называемые ассоциативные списки, при правильном использовании,
могут сократить это время до минимума.
|
|
Four-F - Драйверы режима ядра: Часть 8: Базовая техника: Работа с памятью. Совместно используемый раздел
(0)
(печать) /13.11.2003/
|
Хитов: 1089 |
Совместно используемый объект “раздел” может служить средством обмена данными не только для пользовательских процессов, но и для драйверов. В этой статье именованный раздел используется для обмена данными между пользовательским процессом и драйвером.
|
|
Four-F - Драйверы режима ядра: Часть 9: Базовая техника: Работа с памятью. Разделяемая память
(9)
(печать) /26.11.2003/
|
Хитов: 1271 |
В этой статье рассмотрен ещё один метод совместного использования памяти драйвером и пользовательским процессом. Для драйверов этот метод намного более естественен.
|
|
Four-F - Драйверы режима ядра: Часть 10: Базовая техника: Реестр
(0)
(печать) /22.12.2003/
|
Хитов: 911 |
В режиме пользователя обращение к реестру производится с помощью мнемонических обозначений его корневых разделов: HKEY_CLASSES_ROOT, HKEY_CURRENT_USER и т.д. В режиме ядра обращаться к реестру следует более уважительно - по имени. Как его зовут? Читайте статью.
|
|
Four-F - Драйверы режима ядра: Часть 11 : Базовая техника: Каталоги и файлы
(0)
(печать) /22.01.2004/
|
Хитов: 963 |
Обеспечение возможности работы с файлами является важнейшей задачей любой операционной системы. Некоторые аспекты работы с файлами рассмотрены в этой статье.
|
|
Four-F - Драйверы режима ядра: Часть 12: Базовая техника. Синхронизация: Таймер и системный поток
(6)
(печать) /04.04.2004/
|
Хитов: 974 |
В этой статье мы познакомимся с синхронизацией. Создадим поток и таймер. Поток по сигналу таймера будет что-то делать, а мы будем ждать завершения его работы.
|
|
Four-F - Драйверы режима ядра: Часть 13: Базовая техника. Синхронизация: Взаимоисключающий доступ
(4)
(печать) /03.05.2004/
|
Хитов: 932 |
Часто встречающейся задачей, которую решает синхронизация, является задача монопольного доступа к данным. Создадим несколько потоков, которые под контролем мьютекса будут работают с одним и тем же
ресурсом.
|
|
Four-F - Драйверы режима ядра: Часть 14: Базовая техника. Синхронизация: Использование объекта
(15)
(печать) /03.08.2004/
|
Хитов: 1167 |
Используя объект "событие" драйвер может уведомлять своего клиента режима пользователя об интересующих его изменениях, происходящих в ядре. В этот раз мы также познакомимся с некоторыми методами поиска
неэкспортируемых ядром объектов.
|
|
Four-F - Драйверы режима ядра: Часть 15 : Жизненный цикл IRP
(20)
(печать) /12.11.2004/
|
Хитов: 2262 |
Фильтрация пакетов запроса в/в - относительно сложная тема. Поэтому,
прежде чем перейти к практической реализации драйвера-фильтра,
необходимо четко представлять себе жизненный цикл IRP.
|
|
Four-F - Драйверы режима ядра: Часть 16 : Драйвер-фильтр (не PnP)
(6)
(печать) /12.01.2005/
|
Хитов: 1826 |
Практическая реализация драйвера-фильтра... даже двух. К сожалению, имеются некоторые ограничения, в связи с тем, что это не PnP-драйверы.
|
| Управление памятью |
|
Edmond / HI-TECH - Управление памятью (часть I)
(4)
(печать) /11.09.2002/
|
Хитов: 894 |
Я начинаю очень долгий цикл статей, посвящённых одному из самых больных вопросов в программировании. Правда, несмотря на всю остроту вопроса, и до сегодняшнего момента лишь немногие крупные фирмы уделяют ему лишь сколь нибудь внимания со своей стороны. Не вдаваясь в подробности API операционных систем, будут рассмотрены все базовые случаи и пути их решения.
|
|
Edmond / HI-TECH - Управление памятью (часть 3): Ускользающая память
(0)
(печать) /18.09.2002/
|
Хитов: 663 |
Технологии «ускользающих» входят в число низкоуровневых методологий Оморфо программирования. С недавнего времени, автор использовал данный подход при использовании памяти. Результаты оказались превосходными, и поэтому он приводит несколько слов о принципах реализации ускользающей памяти в этой небольшой статье.
|
|
Edmond / HI-TECH - Управление памятью (часть 4): Буферная память
(0)
(печать) /30.09.2002/
|
Хитов: 654 |
Ещё один вид памяти, часто используемый, но нереализованный в виде API. Он берёт своё начало от вопросов по схемам редактирования файлов, что видимо, является темой последующих статей. Буферная память как следует из названия – это по сути дела то же, что и буферы.
|
| Исследование подсистемы GUI |
|
Twister - Инжект: лезем через окно
(22)
(печать) /09.04.2008/
|
Хитов: 1390 |
Одним из самых соблазнительных мест для преступника, пытающегося пробраться в чужую квартиру, безусловно, является окно. Да и вообще, для русских людей характерно приходить к чему-то новому не «через дверь», а «через форточку», ибо так нам завещал сам царь Петр. Вот и мы, подражая великому правителю, попытаемся проникнуть в адресное пространство чужого процесса через… окно.
|
|
Twister - Оконные хуки: взгляд изнутри
(11)
(печать) /23.11.2008/
|
Хитов: 2377 |
В последнее время на форумах все чаще стали проскальзывать вопросы о том, как получить список оконных хуков, установленных на события мыши или клавиатуры. Уметь их перечислять и идентифицировать было бы довольно полезно, учитывая обилие различных видов spyware в наши дни. И хотя кейлогеры aka клавиатурные шпионы, работающие в режиме пользователя с помощью этих самых хуков, потихоньку уступают свое место драйверам-фильтрам, тема эта все еще продолжает оставаться актуальной.
|
|
Twister - Правда о KeUserModeCallback()
(8)
(печать) /06.12.2008/
|
Хитов: 1668 |
Это даже не статья, а маленькая заметочка. Заметочка на тему избитой всеми функции KeUserModeCallback(). Избитой потому, что многие о ней слышали, многие знают для чего она используется и как примерно работает, но вот рабочего кода, полноценно ее использующего, почти ни кто так и не выдал. Тому есть несколько причин, но обо всем по порядку…
|
| Разные статьи |
|
Ratter/29A, пер. Aquila - Ваш друг имперсонация
(3)
(печать) /27.06.2002/
|
Хитов: 1046 |
Представьте ситуацию. Ваша программа выполняется не под правами администратора, но у вас есть пароль администратора (как его получить - смотрите в дpугой моей статье). У вас есть привилигии, которые вам нужны, и теперь вы думаете, что с ними делать? Ответом является имперсонация.
|
|
mort[MATRiX], пер. Aquila - Синхронизация
(1)
(печать) /27.06.2002/
|
Хитов: 641 |
Я думаю, что большинство новых вирусов будут использовать какой-нибудь вид IPC, а значит и один из видов синхронизации. Эта статья дает только обзор
того, что Windows предлагает для синхронизации, эта тема довольно сложна и не может быть полностью объяснена в одной или двух статьях... идите и
синхронизируйте... :)
|
|
mort[MATRiX], пер. Aquila - Функции toolhelp
(0)
(печать) /27.06.2002/
|
Хитов: 715 |
Эта статья не будет переполнена теорией. Я думаю, что использование toolhelp'а достаточно легко, поэтому я объясню функции API, которые относятся к нему без всякой теоретической чепухи.
|
|
mort[MATRiX], пер. Aquila - Взаимодействие между процессами
(0)
(печать) /27.06.2002/
|
Хитов: 759 |
Взаимодействие между процессами (IPC) - это путь, с помощью которого процессы могут взаимодействовать между собой. У каждого процесса есть свое
собственное отдельное адресное пространство, поэтому процессы не могут напрямую видеть память других процессов. Win32 API предоставляет несколько
разновидностей IPC. IPC может быть очень полезно для вирусов, поэтому я объясню несколько путей, хотя я не уверен, что в вирусах применимы все из них.
|
|
mort[MATRiX], пер. Aquila - Асинхронный ввод/вывод
(1)
(печать) /27.06.2002/
|
Хитов: 836 |
Вы должны знать, что существует два типа операций ввода/вывода - синхронный и асинхронный типы. Используя функции асинхронного ввода/вывода
вы будете ждать, пока операция ввода/вывода не будет закончена. Функции асинхронного ввода/вывода позволяют вам посылать запросы на выполнение
операции ввода/вывода системе и немедленно продолжить выполнение кода. Когда операция асинхронного ввода/вывода будет закончена, система пошлет соответствующее уведомление.
|
|
Bumblebee/29a, пер. Aquila - Пособие по LZEXPAND
(1)
(печать) /27.06.2002/
|
Хитов: 622 |
В этом тутоpиале pассказывается, как pаспаковать сжатый файл с помощью WinAPI и микpософтовского COMPRESS.EXE. Это ламеpская утилита для сжатия
файлов, использующая алгоpитм LZ и фоpмат, тpебуемый LZEXPAND.DLL.
|
|
90210 / HI-TECH - Система перехвата функций API платформы Win32
(6)
(печать) /20.08.2002/
|
Хитов: 1282 |
Создание и исполнение удаленного кода. Изменение таблиц импорта. Сплайсинг функций ядра Windows 9X. Методы установки глобальных перехватчиков. Приостановка потоков. Получение описателя потока по его идентификатору в: Windows 9X, NT, ME/2000/XP
|
|
Benny/29A, пер. Aquila - Треды и фиберы
(5)
(печать) /27.08.2002/
|
Хитов: 881 |
В этом туториале рассказывается о том, что такое треды и фиберы, как их создавать и как ими управлять.
|
|
Chingachguk / HI-TECH - Физические адреса в win95(98)
(8)
(печать) /16.09.2002/
|
Хитов: 1051 |
Вы никогда не задумывались над тем, в каком именно мегабайте вашего компа выполняется ваша программа ? А в каком уютно разместился кернел ? Нет ? А мне вот стало интересно, и я решил узнать...
|
|
CyberManiac - IPC
(3)
(печать) /17.09.2003/
|
Хитов: 834 |
Рано или поздно у любого человека, написавшего больше одной программы, появляется желание заставить эти программы как-то общаться между собой. Это желание со временем растет и крепнет, и в конце концов достигает таких огромных размеров, что его просто необходимо удовлетворить.
|
|
pas - Создание нестандартных элементов управления с использованием макросов FASM
(2)
(печать) /11.04.2004/
|
Хитов: 1056 |
С использованием директивы fix появилась возможность создать свои контролы (элементы управления) без использования библиотек dll и obj-файлов. На мой взгляд плюс в включении контролов в виде макросов в том, что есть возможность изменять их функциональность так, как нужно в каждом конкретном случае. Ещё большим плюсом на мой взгляд является то, что всегда известно как данный элемент будет себя вести т.к. известен его исходный код.
|
|
Roustem - Приложение Windows «голыми руками»
(7)
(печать) /03.05.2004/
|
Хитов: 1255 |
Впервые запустив вновь установленный Windows XP Pro и набрав в командной строке debug, я был весьма удивлен, увидев дефис в консольном окне - знакомое приглашение старого отладчика DOS. Эта любопытная вещица является именно тем инструментом, который нам нужен. Кроме него, нам потребуется немного знаний о формате исполняемых файлов PE и процессе их загрузки в память.
|
|
Roustem - Dll в машинных кодах
(14)
(печать) /18.05.2004/
|
Хитов: 742 |
В статье «Приложение Windows голыми руками» было показано, как с помощью debug «вручную» собрать простейшее Win32 exe-приложение с MessageBox’ом. На этот раз предлагается аналогичным образом создать простейшую dll; это тематическое продолжение прошлой статьи и в то же время необходимый фундамент для статей будущих - поскольку я собираюсь рассказывать в них о создании в машинных кодах компонентов COM, а для них обойтись без dll ну никак нельзя.
|
|
Holy_Father, пер. Kerk - Как стать невидимым в Windows NT
(10)
(печать) /26.08.2004/
|
Хитов: 2991 |
Эта статья описывает техники скрытия объектов, файлов, сервисов, процессов и т.д. в ОС Windows NT. Эти методы основаны на перехвате функций
Windows API, что описано в моей статье "Hooking Windows API".
|
|
Roustem, пер. Roustem - Win32 Appy by Hand
(9)
(печать) /10.09.2004/
|
Хитов: 659 |
Having started up newly installed Windows XP Pro and having entered 'debug' in command line I was highly surprised with hyphen in console window - familiar prompt of the old DOS debugger. This curious thing is the tool we need. Besides we will need some knowledge about PE files layout and how to load them into memory.
|
|
Cardinal - Слежение за вызовом функций Native API
(9)
(печать) /11.11.2004/
|
Хитов: 1137 |
Ну что ж, пришло время рассказать об одной очень полезной, я бы даже сказал, в некоторых случаях, чрезвычайно необходимой возможности, любезно предоставляемой нам внутренними механизмами Windows.
|
|
Roustem - Dll in binary
(0)
(печать) /04.12.2004/
|
Хитов: 594 |
It was shown in the article «Win32 Appy by Hand» how to «assemble» the simplest Win32 application with the only MessageBox using debug.exe. This time let’s create the simplest dll in a similar manner; this is the continuation and further elaboration of the previous work and the necessary foundation for my future articles, because I am going to describe how to create COM components in binary and it is quite impossible to manage without dll’s there.
|
|
Jeremy Gordon, пер. Oleg_SK - Обработка исключений Win32 для программистов на ассемблере
(4)
(печать) /04.04.2005/
|
Хитов: 1007 |
Мы собираемся исследовать, как можно сделать приложение более устойчивым, позволив ему, самому обрабатывать свои исключения, вместо того, чтобы перекладывать эту задачу на систему. Исключение - это нарушение, совершенное программой, которое в обычных случаях приводит к появлению предупреждения о том, что эта программа выполнила недопустимую операцию и будет закрыта...
|
|
SolidCode - А у вас сколько мониторов?
(16)
(печать) /06.05.2005/
|
Хитов: 895 |
В одном проекте мне понадобилась поддержка более одного монитора. В доступном информационном пространстве я особенно ничего не нашёл.
|
|
FrostFix - Создание сканера виртуальной памяти процессов
(4)
(печать) /27.06.2005/
|
Хитов: 0 |
Предмет повествования состоит в изучении принципов сканирования виртуальной памяти процессов (этим занимаются такие программы как ArtMoney и др.), создании и реализации алгоритма целочисленного "универсального обманщика игр".
|
|
FrostFix - Сканер виртуальной памяти «внутри» процесса
(3)
(печать) /01.07.2005/
|
Хитов: 903 |
Целью статьи является рассмотрение принципов создания сканера виртуальной памяти, находящегося «внутри» исследуемого процесса.
|
|
Ms-Rem - Современные технологии дампинга и защиты от него
(4)
(печать) /04.08.2005/
|
Хитов: 2081 |
В этой статье я хотел бы рассмотреть современные методы противодействия дампингу и методы их обхода, что несомненно пригодится тому, кто хочет научиться распаковывать что-то сложнее ASPack'а.
|
|
Cardinal - Запуск процесса из режима ядра
(12)
(печать) /14.09.2005/
|
Хитов: 798 |
Думаю, многие из Вас задавались подобным вопросом. Возможен ли запуск пользовательского приложения из драйвера режима ядра?
|
|
Ms-Rem - Обнаружение скрытых процессов
(9)
(печать) /14.09.2005/
|
Хитов: 4268 |
Многие пользователи привыкли к тому, что в Windows NT диспетчер задач
показывает все процессы, и многие считают, что скрыться от него вообще
невозможно. На самом деле, скрыть процесс черезвычайно просто.
|
|
Ms-Rem - 3 метода работы с занятыми файлами
(34)
(печать) /22.12.2005/
|
Хитов: 3835 |
У многих из вас, несомненно, когда-либо возникала необходимость читать/писать файлы занятые другим процессом.
|
|
Slava - Kernel-Mode & User-Mode Сommunication, или KeUserModeCallback Must Die!
(13)
(печать) /16.02.2006/
|
Хитов: 1173 |
Как мне уже удалось убедиться, проблема, когда нужно достаточно быстро вызвать User Mode функцию из драйвера, который, как известно работает в более привилегированном Kernel Mode, возникает довольно часто. Например, может возникнуть необходимость давать указания драйверу по управлению внешним устройством на основании текущего состояния устройства. При этом драйверу может требоваться директива из приложения пользователя всякий раз когда он обрабатывает прерывание своего устройства. Разумеется, большинство таких задач можно решить «традиционными» методами, например, в самом грубом случае, передавая в драйвер матрицу 2 на N(где N – количество значений, пробегаемое аргументом), которая будет полностью задавать функцию, которую нужно вызвать из кода пользователя. Однако встречаютя ситуации, когда таким «прямым» способом ограничиться не получается…
|
|
Ms-Rem - Инжект как метод обхода фаерволлов, жив или мертв?
(24)
(печать) /28.04.2006/
|
Хитов: 2350 |
Наверника многие из вас помнят те времена, когда персональные фаерволлы только появились, и настал черный день для троянописателей. Этот день стал концом для большинства, но не для всех. Вскоре было найдено простое и изьящное решение, суть которого состоит в том, чтобы работать из разрешенного фаерволлом процесса. Решение было простым и не требовало много кода, и заключалось оно в записи и исполнении своего кода в чужой процесс (обычно в процесс InternetExplorer). Считается что этот метод сейчас умер. Но так ли это?
|
|
Мэт Питрек, пер. pawa - Новая векторная обработка исключений в Windows XP
(1)
(печать) /03.10.2006/
|
Хитов: 1131 |
Статья рассказывает о VEH, её отличиях от SEH, возможностях и способах применения.
|
|
Bill / TPOC - TLS изнутри
(12)
(печать) /19.10.2006/
|
Хитов: 1312 |
Сегодня я расскажу вам об одном крутом механизме, который называется TLS – Thread Local Storage – что по-русски – локальная память потока. Сия вещь широко применяется обычными гуишными программерами в многопоточных приложениях. Вы скажите: А зачем мне оно?? Отвечу – обычно сия вещь нужна для того, чтобы связать определенные данные с конкретным потоком. Например, дядя Рихтер приводит пример – с каждым потоком в TLS связывается дата и время, когда он был создан. В момент уничтожения потока можно посчитать время в течении, которого поток существовал.
|
|
Freeman - Запуск файла из памяти
(17)
(печать) /22.10.2006/
|
Хитов: 2436 |
Существует довольно много способов запуска файлов на исполнение. Чаще всего используют CreateProcess, WinExec и прочие апи. Но что делать, если ЕХЕ-файл находится не в виде файла, а в памяти нашего процесса?.. Можно конечно сохранить файл на диск, после чего запустить. Но это недостаточно извращенный метод. В этой статье я попытаюсь в общих чертах рассказать, как стартовать прямо из памяти.
|
|
PSI_H - Простой способ противодействия сплайсингу API
(16)
(печать) /24.11.2006/
|
Хитов: 1020 |
Для перехвата вызова какой-нибудь API функции обычно используется метод, называемый сплайсингом. Суть метода состоит в замене первых 5 байт функции инструкцией JMP передающей управление коду-перехватчику. Данная техника широко используется в персональных фаерволах для того, чтобы предотвратить внедрение троянскими программами своего кода в адресное пространство других процессов, которым разрешен доступ в сеть. Тем не менее, существуют различные техники, позволяющие троянописателям прорываться сквозь огненные стены.
|
|
Great - Описание формата DMP
(10)
(печать) /10.10.2007/
|
Хитов: 1657 |
Статья рассказывает о формате крэш-дампов Windows и как написать их простой анализатор.
|
|
Great - Управление памятью в ядре Windows XP
(11)
(печать) /16.01.2008/
|
Хитов: 2159 |
Статья рассчитана на тех, кто уже работал с памятью в режиме ядра и отличает MmProbeAndLockPages от MmMapLockedPagesSpecifyCache, а так же знаком с основами устройства управления памятью у процессора - каталоги страниц (PDE), таблицы страниц (PTE), исключение ошибки страницы (#PF).
|
|
GMax - Безопасное извлечение USB-устройств
(10)
(печать) /20.02.2008/
|
Хитов: 2980 |
Цель данной статьи - описание метода безопасного извлечения USB-устройств. В данном случаи под USB-устройствами будут, подразумевается в основном устройства хранения информации (Flash, HDD), но все описанные ниже действия применимы и устройствам других классов.
|
|
73ru5 aka desTiny - Модификация исполняемых PE-файлов
(17)
(печать) /09.04.2008/
|
Хитов: 1128 |
Модилификация PE-файла в картинках.
|
|
Great, пер. Aquila - Description of DMP Format
(6)
(печать) /08.06.2008/
|
Хитов: 524 |
This article describes in details file format of Windows' crash dumps.
|
|
Great - KeCapturePersistentThreadState() и crash dump'ы
(7)
(печать) /23.11.2008/
|
Хитов: 1382 |
Заметка о занятной недокументированной функции, экспортируемую ядром, на которую нет ссылок внутри ядра, но которая делает весьма занятную вещь. А именно, записывает в переданный кусок памяти полноценный minidump на данный момент времени.
|
|
Great - Планировщик, потоки и процессы
(9)
(печать) /06.12.2008/
|
Хитов: 2426 |
В этот раз мы рассмотрим, как операционная система Windows XP распоряжается потоками и процессами и осуществляет их планирование. Коснемся контекстов, их переключения, снятия и установки.
|
|
Sav1or - Исследование подсистемы GUI:
горячие клавиши в Windows
(2)
(печать) /30.05.2009/
|
Хитов: 1608 |
Исследование механизма регистрации горячих клавиш в Windows.
|
|
Матвейчиков Илья - Обработка user-mode исключений в Windows
(1)
(печать) /12.06.2010/
|
Хитов: 4727 |
Статья посвящена обработке user-mode исключений в Windows.
|
|
