Overview In this article, I wanted to introduce a fun approach to performing functions similar to those enabled by Windows Object Callbacks but through an alternative means (experimentally). It’s well known that anti-malware, anti-cheat, and generic monitoring tools on Windows systems often use these callbacks. However, their usability is limited to parties with signed modules, […]| Reverse Engineering
Abuse the HalPrivateDispatchTable to hook SYSCALL system-wide while maintain compliance with PatchGuard on Windows 10 and 11.| Reverse Engineering
The first implementation heavy article covering the details of x86 paging, MTRR configuration, VPID/PCID, and initializing an EPT hierarchy.| Reverse Engineering
EPT, EPTP Switching, Page Hooks, and much more are covered in this 5 part series over hypervisor development. The various examples are tested throughout.| Reverse Engineering
Takes a third-party crackme and teaches assembly while reverse engineering the target application. Covers data structure analysis, flow validation, and more| Reverse Engineering
Part 1 of the x86_64 assembly crash course for people looking to learn how to reverse engineer, read assembly, and understand how exploits work.| Reverse Engineering
As a reverse engineer, every now and then you encounter a situation where you dive deeper into the internal structures of an operating system as usual. Be it out of simple curiosity, or because you need to understand how a binary uses specific parts of the operating system in certain ways . One of the …PEB: Where Magic Is Stored Read More »| Malware and Stuff
Изрядно надоело при старте процесса в WinDbg каждый раз ставить брейк на kernel32!BaseProcessStart (для xp) или kernel32!BaseThreadInitThunk (windows 7) для того, чтобы попасть на точку входа отлаж…| Lhc645's Blog
В продолжение вот этой темы. Как отлаживать 32-х битный код в 64-битной системе Я упомянула логирование wow64. Это удобно для отладки (например видно сервис из какой таблицы возвратил ошибку), если…| Lhc645's Blog
В предыдущей записи было обсуждение каким образом можно установить свой обработчик. Собственно код+экзе [в посте он бы выглядел просто отвратительно] для 64-бит Коротко о том, что я делаю. Получаю…| Lhc645's Blog
Обработка исключений в x64 [usermode]. Небольшие наброски по теме. Возможно, позже оформлю это в виде полноценной статьи [после внесения необходимых уточнений], если, конечно, кому-то нужно. Начина…| Lhc645's Blog
заметка proc Продолжаю писать про особенности 64-битного режима. На этот раз, речь пойдет об относительной адресации и соответственно, специфики работы с всяческими неэкспортируемыми символами в я…| Lhc645's Blog
Доступен only 2-х байтовый вариант, однобайтовая недоступна (в compatibility mode доступна). Example Instruction | Opcode ______________________ inc cl | FE C1 inc cx | 6…| Lhc645's Blog
Introduction Ken Johnson (otherwise known as Skywing) first talked about the KiUserExceptionDispatcher back in 2007 . Since then, scattered around the internet are various posts talking about it, b…| modexp
