进程对象,线程对象都是在系统空间,但是peb,teb却是在用户空间。因为它们需要一些用户态的代码来修改它们。 csrss会为该会话中每个进程创建一个CSR_PROCESS的结构。 win32k.sys 会为那些第一次使用GUI的线程所属的进程创建 W32PROCESS结构。 windbg查看: d....
PEB进程环境快,下面是其一些结构
//===============================================================================================//
typedef struct _UNICODE_STR
{
USHORT Length;
USHORT MaximumLength;
PWSTR pB...
分类:
其他好文 时间:
2015-01-26 00:06:24
阅读次数:
565
[ 1.235000] UBI: number of user volumes: 1
[ 1.240000] UBI: available PEBs: 0
[ 1.245000] UBI: total number of reserved PEBs: 1964
[ 1.250000] UBI: number of PEBs reserved for bad PEB handling: 19
这样的界面看着貌似很高端;很多人误认为前面是系统启动的时间,其...
分类:
其他好文 时间:
2015-01-08 13:20:26
阅读次数:
440
微软在堆中也增加了一些安全校验操作,使得原本是不容易的堆溢出变得困难重重:* PEB Random:在 Windows XP SP2 之后,微软不再使用固定的 PEB 基址 0x7FFDF000,而是使用具有一定随机性的基址,从而影响了 DWORD SHOOT 对 PEB 中函数的攻击。* Safe...
ASLR,Address Space Layout Randomization,通过加载程序的时候不再使用固定的基址,从而干扰 shellcode 定位的一种保护机制,包括映像随机化、堆栈随机化、PEB 与 TEB 随机化。ASLR 的实现也需要程序和操作系统的双重支持,但程序的支持不是必须的。AS...
分类:
其他好文 时间:
2014-10-31 11:41:59
阅读次数:
259
