加壳与脱壳知识点1.壳的种类有几种壳分为压缩壳/加密壳/虚拟壳（1.1压缩壳）压缩壳调用压缩引引擎主要目的是对文件进行压缩减小文件大小（1.2）加密壳加密壳主要是保护软件防止被各种反跟踪技术来调试程序（1.3）虚拟壳虚拟技术应用到壳的领域，设计了一套虚拟机引擎，将原始的汇编代码转译成虚拟机指令，要理解原始的汇编代码，就必须对其虚拟机引擎进行研究，而这极大地增加了破解和逆向的难度及成本。2.常见的壳

WINDOWS内核编程问题与答案1.WDK和SDK的区别是什么2.WDK全称叫做3.如何创建WDK程序4.WinDbg如何连接虚拟机5.Windows内核符号表的作用6.如何设置内核符号表与源文件7.如何设置断点与源码调试8.什么时候共享内核空间9.内核模块与驱动程序的区别是什么10.内核模块运行在什么空间11.PsGetCurrentProcessId函数的作用是什么12.System进程的作用

反调试技术WindowsAPIISDebuggerPresent查询PEB进程环境块中的ISDebugged标志CheckRemoteDebuggerPresent类似于IsDebuggerPresent函数，但是也可以检查其他进程NtQueryInfomationProcess提取一个给定进程的信息，第一个参数是进程句柄，第二个参数告诉我们它需要提取的进程信息类型，参数设置为ProcessDeb

下面几个跨域靶场会陆续加上vCenter/Kubernetes/gitlab/ADCS/exchange/等常见系统,也会陆续做安全运营相关靶场从防守方视角反推红队攻击路径逆向分析木马IoC排查终端木马编写相关报告,如果大家对靶场系列感兴趣的话欢迎关注。

中断门描述符中断门概述1.系统调用Windows没有使用调用门，但是使用了中断门。Windows很多3环API最终都要使用0环的代码，是使用中断门实现的这种功能。注意:老的CPU是用的中断门而最新的CPU是使用的快速调用。2.调试在像OD这种调试工具中按F12下的断点就是将BYTE内容变为0xCC指令位int3这是中断门效果。中断门和调用门的区别中断门和调用门很相似他们最大的区别是查表的不同，调用