- 博客(22)
- 资源 (604)
- 收藏
- 关注
原创 note : add COM interface To Shell Extension DLL
CodeProject上有一篇文章, 讲了怎么进行COM Hook.Com 接口 Hook 后, 当Windows特定操作发生时, 会由我们重载的COM接口实现, 来决定那个COM操作成功还是失败.达到
2013-09-28 17:56:33 1420
转载 Disk Opt
判断逻辑分区的硬盘类型 UINT uDiskType = GetDriveType(L"c:"); if (DRIVE_REMOVABLE == uDiskType) { _tprintf(L"find u disk\r\n"); }
2013-09-25 05:41:37 774
原创 note : Get PID List
// srcProcessCnt.cpp : Defines the entry point for the console application.//#include "stdafx.h"#include #include typedef std::vector VECTOR_INT;size_t fnGetPidList(VECTOR_INT & vec);in
2013-09-23 11:37:47 1054
原创 note : SSDT HOOK HOOK宏 转函数
见到工程中用的 SSDT HOOK 用的宏, 用的挺方便的.有些警告,不好吧.将HOOK宏整理验证, 容易理解, 便于调试时观察.将SsdtHook和SsdtUnHook放在DeviceIoControl 中响应了, 用起来挺方便的./// @file SsdtHook.h/// @brief Ssdt Hook, unHook; Ssdt Inline
2013-09-21 03:04:14 1294
原创 note : when FSD HOOK + IRP_MJ_CREATE, judge pFileObject->Flags
FSD HOOK后, 为了提高效率, 判断 FILE_OBJECT.Flags, 用于比对 IRP_MJ_CREATE 操作的黑名单.BOOLEAN FileObjectFlagIsFileOpen(ULONG_PTR ulFlags){ /// #define FO_SYNCHRONOUS_IO 0x00000002 /// 每秒钟一次的文件操
2013-09-19 05:03:33 1320
原创 note : Get FilePathName from FILE_OBJECT
封了一个函数, 从 FILE_OBJECT 中 得到 FilePathName在WinXpSp3下测试通过.函数定义BOOLEAN IsValidUnicodeString(PUNICODE_STRING pstr);BOOLEAN GetFilePathNameFromFileObject( FILE_OBJECT * pFileObj, UNI
2013-09-16 16:30:23 2696
原创 debug : StartService failed, getlasterror = 0x7f
R3程序用SCM安装启动NT驱动, 一直在Vmware9.0 + WinXpSp3中测试.今天加了些代码, 发现R3启动NT驱动失败. R3发生错误的地方是 StartService, 错误码 = 0x7f去CodeProject上看看Demo, 人家也是这么用.用Win7X86配置编译, 在vmware 9 + winxpSp3中运行, 前一段时间,一直正常...
2013-09-16 00:00:58 2526
原创 note : LIST_ENTRY OPT
LIST_ENTRY节点数据结构typedef struct _tag_CommunicationData_Fsd_FileName{ wchar_t cFilePathName[MAX_PATH];}COM_DATA_FSD_FILENAME;typedef struct _tag_ListEntry_Info_FSD{ LIST_ENTRY List;
2013-09-15 05:59:22 997
原创 note: r0 LockOpt
ERESOURCE 锁操作/// @file LockOpt.h/// @brief 锁操作封装#ifndef __LOCK_OPT_H__#define __LOCK_OPT_H__#include /// @fn InitResource/// @brief 初始化锁void InitResource(__inout PERESOUR
2013-09-15 05:49:00 1314
原创 windbg : view LIST_ENTRY
LIST_ENTRY 节点的结构typedef struct _tag_ListEntry_Info_FSD{ LIST_ENTRY List; COM_DATA_FSD_FILENAME * pFsdData;} TAG_LISTENTRY_INFO_FSD, *PTAG_LISTENTRY_INFO_FSD;typedef struct _tag_Com
2013-09-15 05:03:46 1673
原创 note : IRP hook on R0
IRP hook以FSD Hook 为例, Hook和UnHook的操作, 在DeviceIoControl中响应.Hook 处理/// @file Fsd.h/// @brief FSD(\\FileSystem\\Ntfs) 处理#ifndef __FSD_H__#define __FSD_H__#include #include "
2013-09-14 15:48:32 1744
原创 note : Call SetWindowsHookEx In DLL
在DLL 中调用SetWindowsHookEx, 要在DLL建立一个隐藏的窗体.在消息循环有了之后, 才能调用SetWindowsHookEx.调用DLL的代码void CsrcExeToLoadDllDlg::OnBnClickedButtonHook(){ /// 加载dll, 由DllMain 去SetWindowsHookEx if (NULL
2013-09-14 02:26:06 2271
原创 note : ObReferenceObjectByName usage
得到驱动对象.h/// 系统全局变量声明extern POBJECT_TYPE *IoDriverObjectType;/// 常量, 用WinObj.exe 可以看到#define DRVOBJ_NAME_XX L"\\xx"NTSTATUSGetDriverObject( WCHAR * pcDriverObjectName, PDRIVER_
2013-09-11 17:20:25 1395
原创 windbg : FSD's MajorFunction list
/// FSD派遣函数列表/// windbg : FSD's MajorFunction listkd> versionWindows XP Kernel Version 2600 (Service Pack 3) UP Free x86 compatibleBuilt by: 2600.xpsp.080413-2111>> ProcessShowFsdpDrvObj->Driv
2013-09-10 21:11:55 1591
原创 windbg : view nt!IoDriverObjectType
/// 系统全局变量声明extern POBJECT_TYPE *IoDriverObjectType;/// 未文档化API声明/*kd> x nt!ObReferenceObjectBy*805238bc nt!ObReferenceObjectByPointer = 805b1ab6 nt!ObReferenceObjectByHandle = 805b242
2013-09-10 17:19:33 2283
原创 experiment : C mix MASM on x86 r3
功能在vs2010的控制台工程中, 加入MASM写的X86汇编文件, 用汇编实现一个函数, 供C主程序调用.MASM的ML.exe文件,就用vs2010自带的.工程下载src-r3-cMixMasm-x86_2013_0908.rar效果备注* 需要在Link选项中,手工填入要包含的masm_x.obj* .asm中要定义C风格的 std
2013-09-08 04:34:36 1644
原创 note : change CR0 on x64
在Win7X64下修改CR0, 正常,听说会蓝屏,那在什么情况下会蓝屏呢?UAC已经开了.NtTestFrame.c/// @file NtTestFrame.c/// @brief Nt驱动测试框架#include /// x64汇编版函数定义void WriteProtectEnable();void WriteProtectDisabl
2013-09-07 05:29:53 1860
原创 experiment : C mix ASM on x64 r0
看到一篇资料, 讲述了如何用c和汇编在x64下混合编程.http://bbs.pediy.com/showthread.php?t=173034原因是x64下, r0程序不支持嵌入汇编,编译不过~r3的x64也不支持嵌入汇编.做个试验,留着以后参考~这个试验,将C版的X64 .sys中生成的一个函数 add(), 从x64反汇编中抠出来,放进.asm
2013-09-07 04:37:31 1829
转载 Win7X64下驱动的测试环境搭建.
今天在真机上试验了 NT驱动X64版的安装和调试输出.试验环境Win7X64Sp1中文旗舰版 + WDK7600 + vs2010禁止Win7驱动强制签名实现过了, 用bcdedit.exe 命令 在Win7X64Sp1中文旗舰版上不好使, 必须开机F8选禁止强制驱动签名, 进行驱动程序的开发测试.SCM安装驱动是成功的
2013-09-06 22:46:07 2739
转载 Win7X64下设置DebugView打印输出
http://hi.baidu.com/wesley0312/item/568825de1e8fabe3785daa511) 导入注册表文件, 显示kdprint调试信息Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manag
2013-09-06 22:14:29 5456
原创 setup WinXp on lenovo G480
想在 G480 上, 装个WinXpSp3, 做试验用.用老毛桃PE, 启动后,安装 LMT 目录下拷贝好的 winxpsp3.iso, 安装过程中蓝屏.按照网上说的, 将BIOS中的硬盘模式 由 ACHI 改为兼容模式.用老毛桃PE, 启动后,安装 LMT 目录下拷贝好的 winxpsp3.iso, 安装过程中, 还是蓝屏.用老毛桃PE, 启动后,
2013-09-03 14:48:25 1374
原创 r0 experiment : MDL safe copy
今天帮别人调试一个发生BSOD的 R0 Demo, 里面用到了 MDL拷贝内存的方法.搞定之后, 整理了一下.MdlSafeCopy.c/// @file MdlSafeCopy.c/// @brief 验证用MDL来拷贝内存#include /// @fn SafeCopy/// @brief 用MDL来拷贝内存, 从 ulAddrSrc
2013-09-01 01:59:14 1353
pcasm-book-simplified-chinese.zip
2014-05-09
Advanced-Windows-Debugging-sources-awd.zip
2014-04-28
TrueCrypt 7.1a Source.zip
2013-11-01
filedisk-17-org.zip
2013-10-31
Sysinternals_Source.zip
2013-09-16
vs2010_Sample_C_plus_plus.zip
2013-08-08
DebugViewV4_81.zip
2013-03-13
srcSpyxx.zip
2012-09-30
ProcessExplorer
2011-11-05
cppunit-1.12.1.tar.gz
2011-08-30
STLport-5.2.1.tar.bz2
2011-08-20
工程目录结构模板设计_2011_0309_2054
2011-03-10
ResourceHack
2010-11-26
NTFS文件系统扇区存储探秘_电子书和随书光盘.7z
2019-03-18
Linux C程序设计王者归来_book_cd.7z.004
2018-08-22
Linux C程序设计王者归来_book_cd.7z.003
2018-08-22
Linux C程序设计王者归来_book_cd.7z.002
2018-08-21
Linux C程序设计王者归来_book_cd.7z.001
2018-08-21
eclipse-java-mars-2-win32-x86_64.zip
2017-04-21
International standard ISO/IEC C++98
2015-12-25
book code C语言名题精选百则
2015-12-16
depends22_x64.zip
2015-07-26
C++_Templates_The_Complete_Guide_book_code.zip
2015-06-14
quicktimesdk 7.3.0.70 for windows
2015-05-18
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人