映像加载器

         当系统中的进程被启动的时候，内核创建一个内核对象表示该进程，并执行各种和内核相关的初始化任务。绝大部分的初始化任务是在内核之外完成的，这些工作是由映像加载器完成的。映像加载器驻留在用户模式下的Ntdll.dll中，映像加载器完成以下的初始化工作：

• 1.初始化其他用户模式，包括堆栈的初始化，TLS和FLS的初始化
• 2.解析执行文件的IAT，DLL的导出表
• 3.加载卸载DLL，维护模块数据库
• 4.启用API集和API重定向
  阅读全文 »

3.3 同步

高IRQL的同步

         在内核执行的各个阶段，内核必须保证在临界区中同一时刻只有一个处理器在执行，内核必须保证所有线程按照互斥的方法访问这些数据（内核临界区）。
         由于中断的发生，该中断的处理例程需要修改一个全局的数据结构，与此同时，内核恰好在更新该数据结构，违背了互斥的原则（同一时间只有一个处理器访问数据结构）。
         windows采用了一个比较复杂的方法：首先内核先将处理器的IRQL(中断请求级别)提高到能访问该数据结构的最高的级别，这样就屏蔽了在中断处理例程中使用该资源的中断。但是这种策略对于单处理器来说是可以的，但是不能阻止多处理器发生中断。

前言

         这是在四月份写的本系列的第一篇笔记，没有很系统的学习windbg的使用，马上要去四叶草学习，暑假这几天先系统性的学一下windbg的使用，系列笔记会在这篇文章中。

3.1：陷阱分发

第三部分：系统服务分发

系统服务分发

         windows用于系统服务分发的指令取决于其执行时所在的处理器。

1.反调试技术：

         恶意代码编写者利用反调试技术来判断恶意代码是否被调试，以此来阻止调试器分析，或者使调试器失效。注意，也可以使用反调试来保护我们的加密代码，不一定是干扰或者破坏调试器，
参考资料：
1.逆向工程核心原理
2.恶意代码分析实战

第一步：下载Git和Node

第二歩：在桌面右键启动git 然后安装hexo:

1

npm install -g hexo-cli

前言：

      SEH(“Structured Exception Handling”),即结构化异常处理·是(windows)操作系统提供给程序设计者的强有力的处理程序错误或异常的武器。它不依托于设计语言，只依托于操作系统，这些并不是编译程序本身所固有的,本质上只不过是对windows内在提供的结构化异常处理的包装。
参看资料：
1.逆向工程核心原理
2.https://www.52pojie.cn/thread-16609-1-1.html
3.https://bbs.pediy.com/thread-27224.html
4.https://bbs.pediy.com/thread-12449.htm
5.https://bbs.pediy.com/thread-189193.htm

线程局部存储技术：

      线程局部存储技术（Thread Local Storage）很好的解决了多线程程序设计中变量的同步问题。同时，TLS回调函数也适用于反调试技术。使用TSL技术，可以让进程拥有同一个全局变量，但是在不同的线程却对应着不同的值，这些变量只是对应特定的线程才是有意义的

阅读全文 »