0x01 快速自启动目录快速启动目录自启动方式源于Windows中的一个目录，这个目录一般叫"启动"或者"Startup"。位于该目录下的PE文件会在开机后进行自启动。由于不同版本的Windows启动目录的路径都是不同的，所以我们用一个SHGetSpecialFolderPath来获取该路径。该API位于ShlObj.dll中。我们用隐式载入方式获取。先看MSDN:该API有四个参数。...

首先开始之前先申明一下代码只在X86环境下运行。博主使用的是VM虚拟机，操作系统是Windows XP Profession,具体信息可以写一个程序来获取:.386.model flat, stdcalloption casemap:noneincludewindows.incincludekernel32.incincludelibkernel32.lib...

原 总结 debug 调试 kernel debug windbg bcdedit virtualKD 转储 双机调试 双机内核调试前言当我们没有两台物理机时，又想做双机内核调试怎么办？当然是装虚拟机啦！本文总结了使用 VMware15.5 + win10 + virtualkd + windbg 搭建双机内核调试环境。安装环境VMware 版本： 15.5 pro 。可以到 VMware 官网下

可看: https://blog.csdn.net/qq_37232329/article/details/79939184PS: 因为BIOS编程中INT 13h中断都是对磁盘操作，所以我放弃用DosBox改成VM虚拟机里装上32位XP系统。这样在虚拟8086模式即dos下可以直接执行16位程序比如debug.exe，masm.exe还有link.exeINT 9 键盘输入：BIOS提供了int

把样本拖入VT内分析：可以看到爆红，查看一下细节, 发现了IE浏览器进程被创建了。查看一下导入函数，发现导入了提权相关API。还有远线程注入以及进程创建相关的API现在把程序拖入IDA中，一上来就获取了debug权限，后来就获取了IE的路径其打开了注册表的HKEY_LOCAL_MACHINE\\http\\shell\\open\\command项, 即IE的路径，这个命令行执行后会打开IE浏览器