-
Hid键鼠协议相关
https://learn.microsoft.com/en-us/windows-hardware/drivers/hid/keyboard-and-mouse-hid-client-drivers https://learn.microsoft.com/en-us/windows-hardware/drivers/hid/hid-transports 00 fffff805`434a2fd8 fffff805`486c3aa8 mouclass!MouseClassServiceCallback 01 fffff805`434a2fe0 fffff805`40824e6e mouhid!MouHid_ReadComplete+0x758...
-
Ps_2键鼠协议相关
Windows鼠标键盘(PS2)驱动框架_ps2标准键盘驱动下载_叶之香的博客-CSDN博客.pdf [原创] 键盘过滤之i8042prt!I8042KeyboardInterruptService深层hoook-软件逆向-看雪-安全社区_安全招聘_kanxue.com.pdf XP中Inline HOOK 8042驱动实现键盘钩子的方法 键盘驱动系列—JIURL键盘驱动 5 The Adventures...
-
键鼠栈回溯过检测
正常HID键鼠调用堆栈 0: kd> k # Child-SP RetAddr Call Site 00...
-
去除load_module校验
-
Android通用内核编译
https://source.android.google.cn/docs/setup/build/building-kernels AOSP源码 查找对应版本: https://android.googlesource.com/kernel/common/+refs 下载源码: mkdir android-kernel && cd android-kernel...
-
安卓内核逆向
参考文章:https://bbs.kanxue.com/thread-272958.htm https://github.com/xiaokanghub/Android-Kenerl-boot.img 前置 本次逆向的内核为运行在Xiaomi Redmi Note 11T Pro的Miui 14,内核版本为:5.10.101 提取boot.img...
-
Linux 内核结构体(进程内存)
struct task_struct { volatile long state; //说明了该进程是否可以执行,还是可中断等信息 unsigned long flags;...
-
R0 debug api
内核层调试API 创建调试对象,初始化调试环境: NtCreateDebugObject ==NtDebugActiveProcess== ==DbgkpSetProcessDebugObject== DbgkpMarkProcessPeb 发送模拟消息: DbgkpPostFakeProcessCreateMessages DbgkpPostFakeThreadMessages 发送接收异常调试事件消息:...
-
R3 debug api
R3层调试API https://learn.microsoft.com/zh-cn/windows/win32/debug/debugging-functions CheckRemoteDebuggerPresent 确定是否正在调试指定的进程。 ContinueDebugEvent 使调试器能够继续之前报告调试事件的线程。 DebugActiveProcess 使调试器能够附加到活动进程并对其进行调试。 DebugActiveProcessStop 停止调试器调试指定的进程。...
-
Plot
-
Getkernelbase
.CODE PUBLIC GetKernelBase GetKernelBase PROC mov rax, qword ptr gs:[18h]...
-
安卓内核编译
设备:Oneplus 5 内核源码:https://github.com/MoKee/android_kernel_oneplus_msm8998 编译器:gcc-arm-9.2 编译脚本: export ARCH=arm64 export SUBARCH=arm64 export...
-
Ue4引擎结构
![KS9}OHMF6N%(T_T}Y7GETY.png](../_resources/KS9}OHMF6N%%28T_T}Y7GETY.png)
-
Ue4 fname & gobject
FName就是NamePoolData GObject就是GUObjectArray __int64 __fastcall FName::GetPlainNameString(_DWORD *a1, __int64 a2) { __int64...
-
X64通过页表自映射计算pte_base
//InitializePteBase(__readcr3()); VOID InitializePteBase(ULONG64 dirbase) { PHYSICAL_ADDRESS phAddr = { 0...
-
X64分页
cr3=00000000001ad000 gdtr=fffff8003f677fb0 kd> !vtop 00000000001ad000 fffff8003f677fb0 Amd64VtoP: Virt fffff8003f677fb0, pagedir...