windbg

蓝屏有它存在的理由,在遇到非常严重的严重错误时,为了避免更严重的错误,立马中止系统的所有操作,顺便给个提示,让你知道错误的原因,对于一个专业人员来说,这些机制确实是非常重要的。
在前一篇《在Windbg中明查OS实现UAC验证全流程——三个进程之间的”情爱”[2]》简短的分析了下AIS的方方面面的细节,这一篇抛开这些,来深入分析下检测的逻辑以及拉起consent进程的逻辑。
本篇主要讲解了explorer拉起需要提权的进程的第一步,涉及到好些个进程的调试,后续的还有深入分析,敬请期待!
“讨伐”的背景是这样的,福昕pdf阅读器打开看着某某文档,然后其中有一段文字我想复制下,大概四五十个字吧,然后就莫名其妙的Crash了。由于之前工作的原因,我的注册表里一直挂着JIT,所以,Windbg就跳出来,静静的等着我来干点啥。分析之余,想不到为什么会有这样的“怪异写法”。
​ 2017年6月14日,微软在补丁中修补了一个快捷方式漏洞,也就是CVE-2017-8464漏洞,公告称此漏洞被国家背景的网络攻击所使用。
做过Windows内核开发或者驱动开发的朋友,必然常常会遇到BSoD,其全称为Blue Screen of Death。
这次分析的问题 ,与熊力书中遇到的一个案例特别类似,分析之余,发现还是有很多思路以及很多新奇的知识可以记录下来,与君分享。
本文从异常入手,通过各种分析,辨识出第一次案发现场,第二次案发现场,并逆向分析了关键的异常分发函数,简要介绍了VEH,接着根据搜索到的数据猜测除了程序为何触发int 3进行自杀的动作。
本文经过简单的逆向分析,弄清楚有关于throw的全貌,使得你将来无论是使用throw还是分析dmp时,都如鱼得水,游刃有余。撰以小文,与君分享。
今天拿到一个比较有意思的dmp,分析之余觉得有趣,撰文以分享。