Avatar notebook default
内核与驱动开发
20篇文章 · 3954字 · 2人关注
  • Resize,w 360,h 240
    编写驱动检测虚拟机

    通过CPUID 原理:通过检查功能号1的CPUID返回的ecx的最高位是否为1,如果为1,则在虚拟环境下运行。真机的最高位不为1. 检测处理器是...

    787 1 0
  • 驱动关闭/打开读写保护

    788 0 0
  • R3全盘毁坏数据

    打开物理磁盘或者打开分区符号(这个需要循环) 然后使用下发IOCTL_DISK_DELETE_DRIVE_LAYOUT请求,删除分区表 一般杀软...

    0.1 254 0 1
  • 利用Python获取导出表

    861 0 0
  • Resize,w 360,h 240
    [VT入门]VT开启流程

    VMXON 从INTEL手册31章(31.5)开始 创建vmxon所需要的4K非分页内存,为VMXONRegion,传入vmxon的参数时,需要...

    1487 0 0
  • Resize,w 360,h 240
    VT入门

    可以使用MS提供的x86 内部函数列表(见https://docs.microsoft.com/zh-cn/previous-versions/...

    650 0 0
  • ShadowWalker

    虚拟页表。 实现内存隐藏欺骗。原理:(目前在X86测试通过) 通过HOOK 0xe号中断,即HOOK缺页中断函数。在HOOK后的处理函数中通过判...

    635 0 0
  • Resize,w 360,h 240
    流水线&TLB

    清空没有标记G(PTE中)的所有TLB项 强行更新TLB项,无视G位 由于我们直接在section声明中同时标识execute和write无法通...

    510 1 0
  • Resize,w 360,h 240
    PDE&PTE

    va addr of PTE=((addr>>12)<<2)+0xC0000000

    243 0 0

文集作者