1 #include "windows.h" 2 #include "iostream" 3 #include "stdio.h" 4usingnamespace std;5 6static LPCTSTR q_szMutexName="w2kdg.ProcTerm.mutex.Suicide";7 8HANDLE StartClone(){9 TCHAR szFilename[MAX_PATH]; 10 GetModuleFileName(NULL,szFilename,MAX_PATH); 1112 TCHAR szCmdLine[MAX_PATH]; 13 sprintf_s(szCmdLine,"\"%s\" \"child\"",szFilename);1415 STARTUPINFO si; 1617 ZeroMemory(reinter...
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.htmlWindows系统调用中API的3环部分 一、R3环API分析的重要性Windows所提供给R3环的API,实质就是对操作系统接口的封装,其实现部分都是在R0实现的。很多恶意程序会利用钩子来钩取这些API,从而达到截取内容,修改数据的意图。现在我们使用olldbg对ReadProcessMemory进行跟踪分析,查看其在R3的实现,并根据我们的分析来重写一个ReadProcessMemory。重写R...
最近一直在学习windows内核相关的知识,写一写博客用于备忘。windows系统调用的具体流程在潘爱民老师的《WINDOWS内核原理与实现》中的第8章已经写得很清楚了,先看书中给出的这幅图。以CreateFile为例,在ring3的CreateFile进行了一些参数检查后最终调用的是Ntdll中的NtCreateFile。同时也有ZwCreateFile,不过它们的地址指向同一区域,所以本质上来说是同一个函数。可以再ntdll的导出表中看到:之后通过sysenter或者0x2e中断进入r...
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html Windows系统调用中的现场保存我们之前介绍过三环进零环的步骤,通过中断或者快速调用来实现。但是我们是否考虑过CPU从三环进入零环时,其三环的寄存器该如何保存。这一篇文件就来介绍其系统调用中的(三环)现场保存的问题。 一、几个重要的结构体介绍 1. _Ktrap_frame该结构体简单来说用于三环的寄存器保存,存储于零环,由操作系统维护详细信息可以...
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html Windows系统调用中API的3环部分 一、R3环API分析的重要性Windows所提供给R3环的API,实质就是对操作系统接口的封装,其实现部分都是在R0实现的。 很多恶意程序会利用钩子来钩取这些API,从而达到截取内容,修改数据的意图。 现在我们使用olldbg对ReadProcessMemory进行跟踪分析,查看其在R3的实现,并根据我们的分析来重写一个ReadProcessMemory。...
例如,我在Windows上发送100000个UDP数据包.对于每个数据包,我需要调用一次WSASendTo(),因此可能会引入大量的系统调用开销.有没有办法进行批量发送并减少这种开销?谷歌搜索一段时间后,我找不到适合Windows的解决方案.此外,我想知道这是否可以在Linux上.谢谢.解决方法:在Windows上,您可以在Server 2012和Windows 8及更高版本上使用新的Windows注册I / O API(RIO). 我已经写了很多关于它的内容here并且已经与Windows上可用的以前的AP...