初探Windows应用层反调试技术 2021年11月18日 Jev0n 3453 0x01 PEB相关标志位反调试PEB是一个非常庞大的数据结构,它是用来存储每个进程的运行时数据。下图为Windows 10的_PEB部分结构。在VS中获取当前进程PEB结构体地址方法#ifndef _WIN64 PPEB pPeb = (PPEB)__... 阅读全文 0 评论
CSGO 自瞄透视辅助学习笔记 2021年11月08日 Jev0n 6773 在创建游戏程序的快捷方式,然后在快捷方式中添加-insecure关闭VAC验证服务方便进行初步的调试。如果是用7Launcher平台的得添加Run_CSGO.exe的设置并启动。进到游戏后记得在设置里面打开开发者控制台,方便控制机器人控制台常用指令 ne... 阅读全文 0 评论
初探Windows调试原理和反附加手段 2021年11月06日 Jev0n 2275 0x00 前言最近粗浅的研究了一下Windows应用层相关调试API和对应调试原理,以达到实现反附加的功能。本文内容主要参考《软件调试》和网络上相关优秀文章,并且主要侧重在应用层调试附加方面,关于内核层面因为水平有限本文没有详细展现。0x01 用户态调试... 阅读全文 0 评论
Windows内核机制 2021年11月05日 Jev0n 1905 理解内核机制有助于我们调试以及从整体上理解系统的运作6.1 中断请求级别(IRQL)当要处理的线程多于可用处理器的数量时,就会考虑到线程的优先级。同时硬件设备需要去通知系统来进行进程调度。比如:由磁盘驱动器执行的I/O操作,操作完成后磁盘驱动器会通过请求... 阅读全文 0 评论
双机调试配置 2021年10月19日 Jev0n 1636 标题所指的调试为利用WinDbg(Preview)对驱动/内核进行调试,书中介绍了本地内核调试和双机内核调试两种情况,本文主要侧重介绍双机内核调试,本地内核调试只会简单带过。5.1 本地内核调试(LKD)本地内核调试和双机内核调试的主要区别在于本地内核调... 阅读全文 0 评论