PC逆向 ETW原理及ETWHOOK

本套课在线学习视频（网盘地址，保存后即可免费观看）：

https://pan.quark.cn/s/1045f0449f49

声明：所有发布内容来自网络，仅供用户学习交流测试网速使用，部分影片如有内嵌广告，请勿上当受骗。获取的所有内容请在24小时内删除，禁止非法恶意传播或商业用途。如有侵权，请联系删除，个人微信：sumith，防失联。

00:36 - 探讨ETW及电视剧情分析

对话内容涉及多个主题，包括通过细节推断死者特征的方法、电视剧情的讨论、减少使用电子设备的建议、以及对ETW（事件追踪Windows）的深入技术讲解。参与者分享了对电视剧《白夜追凶》的看法，并讨论了ETW在不同Windows版本中的应用，特别强调了ETW的功能及其在系统监控中的重要性。

10:17 - 深入解析ETW日志记录机制

本次讲解重点在于ETW（Event Tracing for Windows）日志记录的结构和机制。首先，讲解了ETW结构在不同操作系统版本（如Win 10和Win 7）中的差异，特别指出结构中与时间记录相关的重要成员。然后，详细说明了如何在系统调用中利用全局变量数组来查找和利用ETW的特定结构，进而实现日志记录。特别强调了通过设置特定标志位来控制ETW日志的记录开关，以及如何初始化ETW来启用日志记录。此外，还讲解了如何通过搜索特定的特征码和利用导出函数来定位和访问ETW相关的数组和结构，从而更好地理解和应用ETW日志记录机制。

20:06 - 深入理解操作系统安全机制

讨论集中在如何通过修改系统调用表（SSDT）来实现对特定系统调用的拦截和监控。首先，讲解了获取页表的页头，以及使用kare fast call的重要性。随后，探讨了替换系统调用函数地址的细节，以及通过搜索特征码来定位Windows 7系统调用表的技巧。进一步地，解释了通过修改寄存器值来实现对系统调用的监控和日志记录的方法。最后，通过实际代码示例，说明了如何利用回调函数来识别和处理特定的系统调用，特别是如何通过对账来搜索和替换函数地址，从而达到监控系统调用的目的。

29:25 - 县城结构和函数调用机制解析

讲解了县城的堆栈起始地址、站点以及三环调用过程，强调了在县城切换时的关键点。进一步解释了如何通过特定函数获取上一层函数的返回地址，以及这个过程中ESP的作用和重要性。详细讨论了编译器在函数调用时的处理方式和对账机制，以及如何通过汇编实现来定位和处理函数调用栈的问题。

39:08 - 深入解析函数调用和返回地址的处理

对话详细讨论了在调试过程中如何追踪和处理函数的调用与返回地址。首先，通过一个具体的值（F33）来说明如何在内存中定位到特定的函数调用点。随后，解释了函数参数如何保存在寄存器中以及如何通过调整ESP来找到正确的函数调用位置。此外，还讨论了如何确定返回地址的正确范围，以及为什么需要进行特定的偏移（加9）来准确定位函数地址。整个讨论深入探讨了64位Windows环境下函数调用的细节，特别是如何在逆向工程或调试中精确地追踪和理解函数调用流程。

49:23 - 深入探讨编程中的调试和安全机制

对话涉及了对一个特定程序进行调试的过程，重点讨论了如何通过设置断点、编译和运行代码来追踪和理解程序执行的细节。特别关注了进程处理、内存地址的分析以及函数调用的细节，比如利用调试器分析KPCR/APRCB结构和对账过程，进而讨论了基于这些技术的文件保护机制。此外，还涉及了如何替换特定函数以实现安全或反作弊目的，强调了编程过程中对细节的关注和深入理解的重要性。

更多精彩内容关注下方公众号：逆向有你

个人微信：sumith

每日自动更新各类学习教程及工具下载合集

https://pan.quark.cn/s/8c91ccb5a474