- 博客(27)
- 资源 (1)
- 收藏
- 关注
RSS订阅转载 Windows文件系统过滤管理器之微过滤器驱动开发指南
Windows文件系统过滤管理器之微过滤器驱动开发指南 0.译者序 对我来说,中文永远是最美,最简洁,最精确和最高雅的文字。 本文翻译仅仅用做交流学习。我不打算保留任何版权或者承担任何责任。不要引用到赢利出版物中给您带来版权官司。本文的翻译者是楚狂人,如果有任何问题,你可以通过邮箱[email protected],或者是QQ16191935,或者是MS
2006-02-27 08:43:00
9025
转载 Linux 2.4.x 网络安全框架
Linux 2.4.x 网络安全框架1.概述 在分析LINUX2.4.x网络安全的实现之前先简单介绍一下它里面包含的几个重要概念:netfilter、iptables、match、target、nf_sockopt_ops、网络安全功能点的实现。详细解释会在后面的分析中讲到。首先是netfilter,它定义了协议栈中的检查点和在检查点上引用的数据结构,以及在检查点上对这些结构引用的过程。ipt
2006-02-05 16:44:00
2038
转载 Windows内核调试器原理浅析
文摘出处:http://www.xfocus.net/articles/200412/765.html创建时间:2004-12-23文章属性:原创文章提交:SoBeIt (kinsephi_at_hotmail.com)Windows内核调试器原理浅析
2006-02-04 17:36:00
3591
原创 用SoftICE调试DriverEntry
在做Windows内核驱动程序调试的时候,经常遇到需要以Boot模式启动的驱动程序,虽然将内核调试器SoftICE的启动模式设置为Boot(早期Boot)时能够拦截到驱动程序的DriverEntry执行入口(不过据我的经验,好像并不能成功的拦截到DriverEntry,而需要将INT 3中断硬编码到驱动程序中,不过不管怎样,总有办法让程序停在DriverEntry的入口处),但是此时看到的调试界面
2006-02-04 17:33:00
3183
原创 利用VMWare构建SoftICE调试环境
开发Windows下的驱动程序,特别是启动模式为BOOT模式的驱动程序,经常不慎搞死自己使用的系统,因此采用VMWare虚拟各种版本的Windows系统,并在这些虚拟的系统当中调试驱动程序将是十分理想的方式,因此必须解决在虚拟机里面安装使用SoftICE的问题,本来这个问题对于最新版本的DriverStudio3.2套件中自带的SoftICE并不复杂,但是每次安装以后都会发现用CTRL+D无法呼出
2006-02-04 17:08:00
5201
2
转载 调试存储器转储文件
概要本文分步介绍了如何检查小存储器转储文件。使用该文件,可以确定计算机停止响应的原因。小存储器转储文件小存储器转储文件记录可帮助确定计算机为什么意外停止的最小的有用信息集。此选项要求启动卷上有一个至少为 2 MB 的页面文件。在运行 Microsoft Windows 2000 或更高版本的计算机上,计算机每次意外停止时 Windows 都会新建一个文件。这些文件的历史记录存储在一个文件夹中。
2006-02-04 16:52:00
3184
转载 文件系统Cache管理器(译文)
我以前不大明白Windows的文件系统和缓冲管理器之间的关系。仅仅知道Cc开头的系列调用是缓冲管理器提供的,文件系统中可以调用。也知道缓冲对于文件系统的意义,在于缓冲读写操作,使磁盘得到高效的利用。 为了翻译了这些资料,我也大致明白了文件系统和缓冲管理器之间的互动。windows的文件系统和缓冲管理器之间是相互调用的关系,双向沟通。总的来说,是缓冲管理器提供一些调用给文件系统,文件系统注册一些
2006-02-04 13:09:00
3236
转载 关于文件系统设备堆栈的说明
若干关于 file system driver stack写这个文章的初衷是想知道究竟一个读写文件的irp都是怎样被处理的..... 大家都知道这样的一个读写文件irp是发送给file system的driver的file system把这个irp交给了下层的device 这个device叫logical volume device,它由device的vbp里面的realdevice指
2006-02-04 13:06:00
7792
3
转载 探索NTFS
NTFS是Windows NT引入的新型文件系统,它具有许多新特性。本文旨在探索NTFS的底层结构,所叙述的也仅是文件在NTFS卷上的分布。NTFS中,卷中所有存放的数据均在一个叫$MFT的文件中,叫主文件表(Master File Table)。而$MFT则由文件记录(File Record)数组构成。File Record的大小一般是固定的,通常情况下均为1KB,这个概念相当于Linu
2006-02-04 13:03:00
2500
转载 Windows文件系统的过滤器驱动程序设计
Windows文件系统的过滤器驱动程序设计西安电子科技大学 李新摘要:某些应用程序对文件系统的性能有较高要求。例如媒体播放器需要满足最小数据传输率才能保证视觉上的流畅。由于Windows文件系统本身没有提供这样的保证,需要编写过滤器驱动程序添加这项功能。本文首先介绍系统驱动体系和文件系统工作机制,然后分析文件系统过滤器驱动程序的功能特点,最后介绍一种满足此类应用程序传输带宽的总体解决方案(
2006-02-04 12:59:00
7542
1
转载 文件过滤驱动中的重入处理
While processing an IRP_MJ_CREATE a filter may need to open the file with different attributes/rights, etc. This is often done by using a second call to ZwCreatefile. This then will generate a call ba
2006-02-04 12:54:00
5128
原创 在过滤驱动程序创建IRP查询文件信息
在开发Windows下文件系统过滤驱动程序时,我们经常需要先查询一下文件的属性信息,为了实现这个小目标,可以调用Windows Native API函数ZwQueryInformationFile并提供希望查询的文件信息类的名字及结构即可。不过如果我们在驱动程序当中自己处理信息查询请求,可以避免IRP重入的问题。1.自己创建文件信息查询IRPNTSTATUSQueryFileInforma
2006-02-04 12:46:00
5700
2
原创 (转载)EXT2文件系统内部布局
作者:Vitamin C[抗坏血酸] The Second Extended File SystemInternal LayoutExt2文件系统内部布局Dave Poirier [email protected]翻译:Vitamin C[抗坏血酸] [email protected] sing98
2006-02-04 12:27:00
2997
2
转载 基于 linux 平台的 libpcap 源代码分析
基于 linux 平台的 libpcap 源代码分析libpcap 是 unix/linux 平台下的网络数据包捕获函数包,大多数网络监控软件都以它为基础。Libpcap 可以在绝大多数类 unix 平台下工作,本文分析了 libpcap 在 linux 下的源代码实现,其中重点是 linux 的底层包捕获机制和过滤器设置方式,同时也简要的讨论了 libpcap 使用的包过滤机制 BPF。
2006-02-03 22:28:00
3054
原创 (转载)使用kgdb调试linux内核及内核模块
使用kgdb调试linux内核及内核模块创建时间:2005-09-09文章属性:原创文章提交:xcspy (xcspy.com_at_gmail.com)作者:xcspy成员 ladybugE-mail:[email protected]主页:www.xcspy.com1. 几种内核调试工具比较kdb:只能在汇编代码级进行调试; 优点是不需要两台机器进行调试。gdb
2006-02-03 22:23:00
1622
原创 (转载)Linux 调试技术
在 Linux 上找出并解决程序错误的主要方法 Steve Best([email protected]) JFS 核心小组成员,IBM 您可以用各种方法来监控运行着的用户空间程序:可以为其运行调试器并单步调试该程序,添加打印语句,或者添加工具来分析程序。本文描述了几种可以用来调试在 Linux 上运行的程序的方法。我们将回顾四种调试问题的情况,这些问题包括段错误,内存溢出和泄漏,还有挂起。
2006-02-03 22:14:00
1741
原创 (转载)Linux 汇编语言开发指南
一、简介 作为最基本的编程语言之一,汇编语言虽然应用的范围不算很广,但重要性却勿庸置疑,因为它能够完成许多其它语言所无法完成的功能。就拿 Linux 内核来讲,虽然绝大部分代码是用 C 语言编写的,但仍然不可避免地在某些关键地方使用了汇编代码,其中主要是在 Linux 的启动部分。由于这部分代码与硬件的关系非常密切,即使是 C 语言也会有些力不从心,而汇编语言则能够很好扬长避短,最大限度地发挥硬件
2006-02-03 22:10:00
1940
原创 (转载)Linux主要shell命令详解
Linux主要shell命令详解 shell是用户和Linux操作系统之间的接口。Linux中有多种shell,其中缺省使用的是Bash。 本章讲述了shell的工作原理,shell的种类,shell的一般操作及Bash的特性。 什么是shell Linux系统的shell作为操作系统的外壳,为用户提供使用操作系统的接口。它是命令语言、 命令解释程序及程序设计语言的统称。 shell是用户和Li
2006-02-03 22:07:00
2592
原创 (转载)理解 Linux 配置文件
理解 Linux 配置文件 介绍 每个 Linux 程序都是一个可执行文件,它含有操作码列表,CPU 将执行这些操作码来完成特定的操作。例如,ls 命令是由 /bin/ls 文件提供的,该文件含有机器指令的列表,在屏幕上显示当前目录中文件的列表时需要使用这些机器指令。几乎每个程序的行为都可以通过修改其配置文件来按照您的偏好或需要去定制。 Linux 中有没有一个标准的配置文件格式? 一句话,
2006-02-03 22:05:00
1195
转载 反垃圾邮件技术解析
反垃圾邮件技术解析创建时间:2005-08-29文章属性:原创文章提交:refdom (refdom_at_xfocus.org)(v1.0)Written By: RefdomEmail: refdomxfocus.orgDate: 2004-3-20Update:2005-8-27声明:安全焦点(xfocus security team)是非商业,全方位的网络安全组织,本文档为
2006-02-02 21:36:00
5295
原创 Fragroute原理详细分析
Fragroute原理详细分析1.简介2002年3月左右,http://www.monkey.org/~dugsong/发布了一个工具fragroute,在入侵检测领域引起了相当大的震动。有关fragroute的讨论成了3-4月http://online.securityfocus.com/和snort邮件列表的一个热点。fragroute能够截取、修改和重写向外发送的报文,实现大部分在了Secu
2006-02-02 21:34:00
6763
原创 (转载)零拷贝技术研究与实现
零拷贝技术研究与实现作者:梁健(firstdot)E-MAIL:[email protected]一.基本概念零拷贝(zero-copy)基本思想是:数据报从网络设备到用户程序空间传递的过程中,减少数据拷贝次数,减少系统调用,实现CPU的零参与,彻底消除CPU在这方面的负载。实现零拷贝用到的最主要技术是DMA数据传输技术和内存区域映射技术。如图1所示,传统的网络数据报处理,需要经过网络设备到操作
2006-02-02 21:26:00
5913
原创 (原创)Linux内核NAPI机制分析
简介:NAPI 是 Linux 上采用的一种提高网络处理效率的技术,它的核心概念就是不采用中断的方式读取数据,而代之以首先采用中断唤醒数据接收的服务程序,然后 POLL 的方法来轮询数据。随着网络的接收速度的增加,NIC 触发的中断能做到不断减少,目前 NAPI 技术已经在网卡驱动层和网络层得到了广泛的应用,驱动层次上已经有 E1000 系列网卡,RTL8139 系列网卡,3c50X 系列等主
2006-02-02 21:23:00
7488
2
原创 (原创)linux内核进程调度以及定时器实现机制
一、2.6版以前内核进程调度机制简介Linux的进程管理由进程控制块、进程调度、中断处理、任务队列、定时器、bottom half队列、系统调用、进程通信等等部分组成。进程调用分为实时进程调度和非实时进程调度两种。前者调度时,可以采用基于动态优先级的轮转法(RR),也可以采用先进现出算法(FIFO)。后者调度时,一律采用基于动态优先级的轮转法。某个进程采用何种调度算法由改进程的进程控制块中
2006-02-02 21:11:00
12819
1
转载 LIDS攻略
LIDS攻略创建时间:2002-02-26文章属性:整理文章来源:http://www.xfocus.net文章提交:psef (psef_at_163.com) 前言: 前一段时间研究lids,觉得还不错,于是将网上收集到的资料以及使用的经验整理了一下,希望对研究LIDS的朋友和li
2006-02-02 20:56:00
2564
原创 (转载)Snort入侵检测系统分析
Snort入侵检测系统分析作者:浩海孤帆@bbs.net130.com Snort的特点Snort是一个强大的清量级的网络入侵检测系统。它具有实时数据流量分析和日志Ip网络数据包的能力,能够进行协议分析,对内容搜索/匹配。它能够检测各种不同的攻击方式,对攻击进行实时警报。此外,Snort具有很好的扩展性和可移植性。还有,这个软件遵循公用许可GPL,所以只要遵守GPL任何组织和个人都可以
2006-02-02 20:51:00
5219
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人