rogxo@home:~$

Archive

About

RSS

  • Hid键鼠协议相关

    https://learn.microsoft.com/en-us/windows-hardware/drivers/hid/keyboard-and-mouse-hid-client-drivers https://learn.microsoft.com/en-us/windows-hardware/drivers/hid/hid-transports 00 fffff805`434a2fd8 fffff805`486c3aa8 mouclass!MouseClassServiceCallback 01 fffff805`434a2fe0 fffff805`40824e6e mouhid!MouHid_ReadComplete+0x758...

  • Ps_2键鼠协议相关

    Windows鼠标键盘(PS2)驱动框架_ps2标准键盘驱动下载_叶之香的博客-CSDN博客.pdf [原创] 键盘过滤之i8042prt!I8042KeyboardInterruptService深层hoook-软件逆向-看雪-安全社区_安全招聘_kanxue.com.pdf XP中Inline HOOK 8042驱动实现键盘钩子的方法 键盘驱动系列—JIURL键盘驱动 5 The Adventures...

  • 键鼠栈回溯过检测

    正常HID键鼠调用堆栈 0: kd> k # Child-SP RetAddr Call Site 00...

  • 去除load_module校验

  • Android通用内核编译

    https://source.android.google.cn/docs/setup/build/building-kernels AOSP源码 查找对应版本: https://android.googlesource.com/kernel/common/+refs 下载源码: mkdir android-kernel && cd android-kernel...

  • 安卓内核逆向

    参考文章:https://bbs.kanxue.com/thread-272958.htm https://github.com/xiaokanghub/Android-Kenerl-boot.img 前置 本次逆向的内核为运行在Xiaomi Redmi Note 11T Pro的Miui 14,内核版本为:5.10.101 提取boot.img...

  • Linux 内核结构体(进程内存)

    struct task_struct { volatile long state; //说明了该进程是否可以执行,还是可中断等信息 unsigned long flags;...

  • R0 debug api

    内核层调试API 创建调试对象,初始化调试环境: NtCreateDebugObject ==NtDebugActiveProcess== ==DbgkpSetProcessDebugObject== DbgkpMarkProcessPeb 发送模拟消息: DbgkpPostFakeProcessCreateMessages DbgkpPostFakeThreadMessages 发送接收异常调试事件消息:...

  • R3 debug api

    R3层调试API https://learn.microsoft.com/zh-cn/windows/win32/debug/debugging-functions CheckRemoteDebuggerPresent 确定是否正在调试指定的进程。 ContinueDebugEvent 使调试器能够继续之前报告调试事件的线程。 DebugActiveProcess 使调试器能够附加到活动进程并对其进行调试。 DebugActiveProcessStop 停止调试器调试指定的进程。...

  • Plot

  • Getkernelbase

    .CODE PUBLIC GetKernelBase GetKernelBase PROC mov rax, qword ptr gs:[18h]...

  • 安卓内核编译

    设备:Oneplus 5 内核源码:https://github.com/MoKee/android_kernel_oneplus_msm8998 编译器:gcc-arm-9.2 编译脚本: export ARCH=arm64 export SUBARCH=arm64 export...

  • Ue4引擎结构

    ![KS9}OHMF6N%(T_T}Y7GETY.png](../_resources/KS9}OHMF6N%%28T_T}Y7GETY.png)

  • Ue4 fname & gobject

    FName就是NamePoolData GObject就是GUObjectArray __int64 __fastcall FName::GetPlainNameString(_DWORD *a1, __int64 a2) { __int64...

  • X64通过页表自映射计算pte_base

    //InitializePteBase(__readcr3()); VOID InitializePteBase(ULONG64 dirbase) { PHYSICAL_ADDRESS phAddr = { 0...

  • X64分页

    cr3=00000000001ad000 gdtr=fffff8003f677fb0 kd> !vtop 00000000001ad000 fffff8003f677fb0 Amd64VtoP: Virt fffff8003f677fb0, pagedir...