Реверсінг Windows | Блог по Windows

Матеріали по реверсивної інженерії в операційних системах Microsoft

Зупинка на точці входу додатки в WinDbg

Як то раз зіткнувся з цікавою проблемою при відкритті файлу в WinDbg на налагодження. Для досвідченого реверсера ситуація, швидше за все, досить тривіальна, проте з нею з разу в раз стикаються ті, хто вперше намагається налагодити типовий виконуваний модуль (.exe) за допомогою відладчика WinDbg. Полягає вона в тому, що абсолютно незрозуміло як поставити

Послідовність виконання функцій

Багато фахівців, за родом своєї діяльності стикаються з дослідженням різних модулів, аналізом причин тих чи інших збоїв і проводять іншу аналогічну роботу, у своїй практиці часто стикаються з таким поняттям як стек викликів. Очевидно, що він фактично являє собою черговість виклику функцій в контексті виконується потоку. З першого погляду може здатися, що стек викликів досить

ci.dll – бібліотека перевірки цифрових підписів

І останнім етапом в ланцюжку перевірки цілісності коду стадії завантаження 32-бітної операційної системи Windows 7 є бібліотека ci.dll (іменована розробниками Модулем Цілісності Коду, Code Integrity Module). Даний компонент вперше з’явився в операційній системі Windows 7 і в своєму складі має функції, що забезпечують перевірку цілісності бінарних образів на етапі відображення / завантаження в адресний простір ядра. Таким чином,

Відключення перевірки цілісності ядра ntoskrnl.exe

Ніколи не цікавилися яким саме чином ядро ​​Windows перевіряє власний код на спробу внесення змін? Адже сучасні операційні системи повинні мати механізми захисту і причин для цього достатньо, одні руткіти чого варті. Наприклад, в 32-розрядної системі (x86) Windows, починаючи з версії Vista, цілком офіційно присутні опції включення / відключення перевірки цілісності компонентів, що беруть участь в процесі запуску операційної

Відключення перевірки цілісності bootmgr і winload

Найчастіше виникають потреби вивчення процесу завантаження операційної системи Windows на рівні вихідного коду. Ну а тут вже без внесення змін до коду просто не обійтися .. і в цьому самому місці нас чекає розчарування.

Ссылка на основную публикацию