- 博客(5)
- 资源 (2)
- 收藏
- 关注
RSS订阅原创 驱动中占用文件
有解锁内核文件句柄还不是因为有人恶意占用,对抗有点意思,到了最后,技术相生相克,很多时候不是程序对抗,是人和人。 BOOLEAN HoldFile(PUNICODE_STRING FileName){ NTSTATUS Status; HANDLE hFile; OBJECT_ATTRIBUTES oa; IO_STATUS_BLOCK ioStatus = ...
2016-09-25 15:22:14
594
原创 驱动中枚举和关闭内核句柄
WIN64AST的作者之前发布了一些教程,里面有关于关闭内核句柄的介绍,但是他忘了一件事,所以那份代码并不能真正的关闭内核句柄,而且他的代码。。。不敢用在项目里。有人在看雪上问过类似问题,我也回答过,在vista之后,windows会检查内核句柄值得有效性,也就是为什么下面我提供的代码中会有这一行:*(PULONG64)HandleValue |= (ULONG64)KERNEL_HANDLE...
2016-09-25 15:11:52
2245
1
原创 驱动内存映射文件
驱动内存映射文件,一切尽在代码中,各位老爷请看: // 内存映射文件,返回基址 // 用完记得ZwUnmapViewOfSection(ZwCurrentProcess(), BaseAddress);PVOID CreateMapFileAndGetBaseAddr(PUNICODE_STRING FilePath, PSIZE_T Size){#define SE...
2016-09-25 14:58:28
1246
原创 驱动中解析pe文件之pdb
驱动中解析pe文件的pdb,一切尽在代码中,本博客不负责科普,能立即用的代码你都有了,头文件、结构体、注释都整理好你还想要啥?CreateMapFileAndGetBaseAddr()的定义就看我下一篇文章。 #include <ntifs.h>#include <windef.h>#include "ntimage.h"#define NB10...
2016-09-25 14:53:57
2649
4
原创 驱动中检查应用层地址有效
之前有个驱动,其中有个功能要用到解析pe结构,传入个imagebase基地址然后解析这个pe文件结构返回信息。后来一个同事维护了一段时间,他辞职之后,测试的告诉我功能失效了,我就把代码拿过来看了看,原来这家伙误用了一个函数MmIsAddressValid,他在解析PE结构的时候,用了一个函数MmIsAddressValid,我看他的意思是想判断一个地址是否有效就用,这个函数名字看起来好像是这个意思...
2016-09-25 14:30:51
1950
利用INF安装驱动程序
2014-02-20
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人