前言

         去年暑假，学习了如何脱壳，但是没有深入的了解这一块的知识，现在花费差不多三天的时间总结一下。

注册表用法

         注册表的配置数据主要在四个时间点被修改。

• 由于引导配置数据库(BCD)存在于注册表储巢中，所以在初始化引导过程中，引导加载器需要读入配置信息和引导设备驱动程序的列表。
• 在内核引导的过程中，内核要读取系统的相关设置信息(存放在注册表中)，这些信息包含了加载的驱动程序，系统组件，已经系统行为的配置。
• 在windows登录过程中，Explorer和windows组件读取用户配置信息。
• 应用程序启动过程中，读取系统全局配置信息。
• 其他时间：在调用API修改注册表的时候，注册表也提供异步回调机制，这是优先接收注册表变化的方法。系统不建议使用轮询的方法检测注册表的修改。
  阅读全文 »

预备知识

1.延迟加载导入的概念及作用

         延迟加载导入表和导入表示相互分离的，延迟加载导入表是特殊的导入表，和导入表不同的是，延迟加载导入表所记录的dll不会被操作系统加载，只有在函数被应用程序调用的时候，PE中注册的延迟加载函数才会根据延迟加载导入表的记录，动态加载dll，以及修正导入函数的VA。

预备知识：代码重定位

重定位的提出

         代码重定位是把可执行代码从内存的一块区域移动到另外一块地方。但是如果指令中某些操作数没有随着地址的改变而改变，这样势必导致运行出错。如下代码：我们发现全局变量的地址包含在机器码中，而局部变量没有包含绝对地址。

1
2
3
4
5
6

push ebp
mov ebp,esp
add esp,ffffffc
mov eax,dword ptr [00400FFC]   //全局变量
mov eax,dword ptr [ebp-04]     //局部变量
mov eax,dword ptr [evp+08]     //局部变量

         重定位信息是在编译时期由编译器生成，并且保存在应用程序中，在程序执行的时候由操作系统予以修正。如果在装载时该位置已经被别的应用程序使用，操作系统会重新选择一个新的基地址。此时，就需要对所有重定位信息进行纠正，纠正的依据就是PE中的重定位表。

第一部分 预备知识

         导入表主要存在于动态链接库文件中，用于将dll文件中的函数导入到外部，给其他的exe或者dll文件调用。我们在导入表一章中知道了程序在装载过程中，通过在INT获得的函数地址覆盖到IAT中，此时，导出表起到了参照和指引的作用。

第一部分 预备知识

1.函数导入流程

         程序在引用dll库函数的时候，需要从dll里面对所需要的函数进行导入，该导入过程如下：

第一部分 预备知识

四类地址

• 虚拟地址（VA）
• 相对虚拟内存地址（RVA）
• 文件偏移地址（FOA）
• 特殊地址
  阅读全文 »

映像加载器

         当系统中的进程被启动的时候，内核创建一个内核对象表示该进程，并执行各种和内核相关的初始化任务。绝大部分的初始化任务是在内核之外完成的，这些工作是由映像加载器完成的。映像加载器驻留在用户模式下的Ntdll.dll中，映像加载器完成以下的初始化工作：

• 1.初始化其他用户模式，包括堆栈的初始化，TLS和FLS的初始化
• 2.解析执行文件的IAT，DLL的导出表
• 3.加载卸载DLL，维护模块数据库
• 4.启用API集和API重定向
  阅读全文 »

3.3 同步

高IRQL的同步

         在内核执行的各个阶段，内核必须保证在临界区中同一时刻只有一个处理器在执行，内核必须保证所有线程按照互斥的方法访问这些数据（内核临界区）。
         由于中断的发生，该中断的处理例程需要修改一个全局的数据结构，与此同时，内核恰好在更新该数据结构，违背了互斥的原则（同一时间只有一个处理器访问数据结构）。
         windows采用了一个比较复杂的方法：首先内核先将处理器的IRQL(中断请求级别)提高到能访问该数据结构的最高的级别，这样就屏蔽了在中断处理例程中使用该资源的中断。但是这种策略对于单处理器来说是可以的，但是不能阻止多处理器发生中断。

前言

         这是在四月份写的本系列的第一篇笔记，没有很系统的学习windbg的使用，马上要去四叶草学习，暑假这几天先系统性的学一下windbg的使用，系列笔记会在这篇文章中。