写几个驱动练练手
文章平均质量分 80
beijixing2003
http://t.sina.com.cn/beijixing2003
展开
-
枚举进程(2)——利用EPROCESS/PEB地址特征进行内存搜索
两个搜索特征:(1)观察所有进程的EProcess结构地址,可以发现都在0x80000000到"system"进程的EPROCESS之间。这就表明所有EPROCESS结构中的peb指针域也应该在这个区间。这就可以大致确定搜索范围。不过在实际测试(xp2)中发现winlogon的EPROCESS大于system的EPROCESS,因此还需要修正搜索范围的最大值。如果对效率要求比较高,还可以把搜索范原创 2008-06-05 18:30:00 · 3568 阅读 · 0 评论 -
输出驱动程序基本信息
用Device Tree查看“/FileSystem/Fastfat”驱动相关信息,如下图所示:写了个最简单驱动,基本实现类似的功能。extern "C" POBJECT_TYPE *IoDriverObjectType; extern "C" NTSTATUS ObReferenceObjectByName( IN PUNICODE_STRING ObjectPath,原创 2008-06-04 18:19:00 · 1227 阅读 · 0 评论 -
枚举进程(1)——遍历通过EPROCESS结构的ActiveProcessLinks链表
#define EPROCESS_SIZE 1#define PEB_OFFSET 2#define FILE_NAME_OFFSET 3#define PROCESS_LINK_OFFSET 4#define PROCESS_ID_OFFSET 5#define EXIT_TIME_OFFSET 6typedef ULONG DWORD ;typ原创 2008-06-05 16:29:00 · 4374 阅读 · 1 评论 -
强制删除文件(1)——直接发IRP到文件系统
学习资料:http://www.antiprotect.com/forum_posts.asp?TID=95上面这个连接中的DEMO是比较完整软件,这里我把其中发IRP强制删除文件的部分抽出来了,学习了下,顺便加点注释。这个程序比较简单,主要练习了两个点:(1)模拟发送IRP(2)使用内核事件对象同步IRP的执行强制删除文件的思路很简单,把SECTION_OBJECT_POINTERS结构原创 2008-06-11 11:36:00 · 6326 阅读 · 4 评论