相关推荐

Windows-EventLog-Bypass:使用来自TEB的subProcessTag值来标识事件日志线程

Windwos-EventLog-Bypass 使用来自TEB的subProcessTag值来标识事件日志线程。 使用NtQueryInformationThread API和I_QueryTagInformation API获取线程的服务名称。 自动终止事件日志服务线程。 因此，系统将无法收集日志，同时事件日志服务似乎正在运行。 借鉴： 和 有关它的详细信息： 更新： 挂起或恢复Eventlog服务的线程。用于停止或恢复系统以收集日志：

NtQuerySystemInformation判断线程是否被挂起/判断线程状态

http://www.buguw.com/ntquerysysteminformation%e5%88%a4%e6%96%ad%e7%ba%bf%e7%a8%8b%e6%98%af%e5%90%a6%e8%a2%ab%e6%8c%82%e8%b5%b7%e5%88%a4%e6%96%ad%e7%ba%bf%e7%a8%8b%e7%8a%b6%e6%80%81.html

线程入口地址 类封装

#pragma once typedef LONG NTSTATUS; typedef NTSTATUS(WINAPI *NTQUERYINFORMATIONTHREAD)( HANDLE ThreadHandle, ULONG ThreadInformationClass, PVOID ThreadInformation, ULONG ThreadInformationLength, ...

[笔记]Windows核心编程《番外篇》常用的NT API及使用示例

文章目录前言NtQueryInformationProcess函数原型附录用例总结 前言 NTAPI：泛指ntdll.dll模块不对外提供的API接口 一般通过动态载入库的方式（LoadLibrary + GetProcAddress）调用 NtQueryInformationProcess NtQueryInformationProcess NtQueryInformationProcess用法 函数原型 NTSYSCALLAPI NTSTATUS NTAPI NtQueryInformationPro

NtQueryInformationThread 0x9 ThreadQuerySetWin32StartAddress 问题

根据MSDN If this parameter is the ThreadQuerySetWin32StartAddress value of the THREADINFOCLASS enumeration, the function returns the start address of the thread. Note that on versions of Windows prior t...

使用 NtQuerySystemInformation 遍历进程信息

通过遍历系统进程信息，我们可以了解系统中运行的各种进程的详细信息，从而更好地进行系统管理和性能优化。本文介绍了一种通过调用 Windows 系统API来获取并遍历系统进程信息的技术，并提供了一段示例代码以帮助读者理解该技术的实现方法。

【操作系统】2.4 处理机调度的概念、目标和实现

调度的概念 1.调度的基本概念呢 在多道程序系统中，进程数量往往多于处理机数量，因此需要进程争用处理机。处理机调度是对处理机进行分配，按照一定的算法将处理机分配个进程 2.调度的层次 一个作业从提交开始到完成要经历三级调度： （1）高级调度（作业调度） 按照一定的原则从外存上处于后备队列的作业中挑选一个或者多个，然后给他们分配必要资源，并且建立相应的进程，使得他们可以争用处理机使用权。作业调度是内存和外存之间的调度，每个作业调入一次，调出一次 （2）中级调度（内存调度） 中级调度将暂时不能运行的进程调出到外

什么是程序上下文？

今天研究SpringBoot原理的时候，偶然遇到了这个问题，其实这个也算是比较常见问题了吧，看上去很常见，但是自己又说不出个所以然来 今天在segmentfault社区看见一则回答，生动的解释了什么是程序的上下文： 场景１： 小美刚转学到我们学校，我暗恋了她很久，有一天鼓足勇气，向她表白，小美气呼呼对我说：“你去死吧”，我当时就哭了。 场景２ 我跟小美从小青梅竹马，后来我得了白血病，不忍心让小美跟...

Hook与IoCallDriver与IofCallDriver

用途之一：从内核层保护文件不被删除 IoCallDriver：一个内核例程，过滤所有的系统请求 NTSTATUS IoCallDriver(IN PDEVICE_OBJECT DeviceObject, IN OUT PIRP Irp ); IofCallDriver：在IoCallDriver中调用的一个例程，几乎所有的内核驱动都调用了IofCallDr

深入理解和使用Windows NT驱动程序的执行上下文（一）

深入理解和使用Windows NT驱动程序的执行上下文原作：Open System Resources,Inc.编译：codewarrior@fudan cse 要理解Windows NT驱动程序，最重要的概念之一就是驱动程序执行时的所处的“执行上下文”（Execution Context）。深入理解这个概念，并小心地应用你所掌握的关于它的知识，可以帮助你编写更快速高效的驱动程序。

程序上下文切换，什么是上下文？

1.什么是上下文？ Linux是一个多任务的操作系统，它支持远大于CPU数量的任务同时运行，当然，这些任务实际上并不是真正的在同时运行，而是系统在很短的时间内，将CPU轮流分配给他们，给用户造成很多任务同时运行的错觉。 在每个任务运行前， CPU 都需要知道任务从哪里加载，又从哪里开始运行。也就是说，需要系统事先给他设置好 CPU 寄存器和程序计数器（Program Counter,...

逆向学习笔记（3）——静态反调试技术

1.PEB结构 +0x002 BeingDebugged : UChar +0x00c Ldr : Ptr32 _PEB_LDR_DATA +0x018 ProcessHeap : Ptr32 Void +0x068 NtGlobalFlag : Uint4B ... 1）BeingDebugged(+0x002) 当进程处于调试状态时，该标识为1，反之为0。 对应的API是IsDebuggerPresent()，用于获取当前进程的调试状态

反调试技术（一）--静态反调试

为了保护自己的程序不被破译等，很多软件使用了反调试技术来阻止逆向程序员对自己程序进行爆破，这同时也催生了另一种技术--反调试破解技术的出现。反调试技术分为静态反调试技术和动态反调试技术。相比来说静态反调试技术更容易实现，破解一般也只需要一次，我们这次就先谈一下静态反调试技术，以及对应的破解之道。 1.PEB结构中有几个重要的成员标示了进程是否处于被调试状态。（以下以32位为例） +0x0...

Native NT Application 的编写与调试入门

文章转自：http://chongyanglee.bokee.com/6726337.html Native NT Application 的编写与调试入门关键词： Native    NT    Application                                            前言              Native NT Applicat

操作系统第三章课后答案

第三章 第三章处理机调度与死锁 1．高级调度与低级调度的主要任务是什么？为什么要引入中级调度？ 答：高级调度的主要任务是根据某种算法，把外存上处于后备队列中的那些作业调入内存。 低级调度是保存处理机的现场信息，按某种算法先取进程，再把处理器分配给进程。 引入中级调度的主要目的是为了提高内存利用率和系统吞吐量。使那些暂时不能运行的进程不再占用内存资源，将它们调至外存等待，把进程状态改为就绪驻外存状态或挂起状态。 2．何谓作业、作业步和作业流？ 答：作业包含通常的程序和数据，还配有作业说明书。系统根据该说明书对

操作系统复习（十）——进程调度与实时调度

进程调度 进程调度的任务、机制和方式 1.进程调度的任务 保存处理机的现场信息。 按照某种算法选取进程。 把处理器分配给进程。 2.进程调度机制 进程调度机制中，应该有三个基本部分 排队器，用于将就绪进程按照一定策略排成一个或多个队列，方便调度程序能最快找到目标进程，提高进程调度的效率。 分派器，根据进程调度程序选定的进程，分派器将处理及分配给选出的进程。 上下文切换器，在对处理机进行切换时，会发生两对上下文的切换操作。第一对上下文切换时，OS保存当前进程的上下文，再装入分派程序的上下文，以便分派程序

使用NtQuerySystemInformation遍历进程信息[详细篇]

使用NtQuerySystemInformation遍历进程信息[详细篇]

操作系统[系统学习二]

文章目录系统调用什么是系统调用为什么提供系统调用系统调用和库函数的区别系统调用背后的过程总结进程定义组成组织方式链接方式索引方式进程的特性总结进程的状态与转换三种基本状态状态转换总结 系统调用 什么是系统调用 操作系统作为应用程序/用户 和 底层硬件之间的接口, 需要为上层提供一些服务. 这些接口分为命令接口(面向用户) 和 程序接口(面向应用程序) 程序接口 就是由 一组系统调用构成. 应用程序可通过系统调用 来执行一些特权指令 为什么提供系统调用 防止各个应用程序随意使用这些共享的系统资源,