toudaima-CSDN博客

转载 SSDT Hook的妙用－对抗ring0 inline hook

标题: SSDT Hook的妙用－对抗ring0 inline hook作者: 堕落天才时间: 2007-03-10,15:18:32链接: http://bbs.pediy.com/showthread.php?t=40832********************************************************标题:【原创】SSDT Ho

2012-08-29 09:44:47 824

转载 PsGetCurrentProcess得进程路径

首先利用PsGetCurrentProcess或IoGetCurrentProcess函数得到当前进程的句柄，这个句柄是指向_EPROCESS结构的指针，_EPROCESS的结构如下：typedef struct _EPROCESS { KPROCESS Pcb; NTSTATUS ExitStatus; KEVENT LockEvent; DWORD LockCo

2012-08-07 18:10:21 2175

转载 WinDbg 命令集锦

//断点相关bp + 地址设置断点bl 显示已经设定的断点bu + 地址设置断点，但是这种类型断点再下一次启动时被记录bc 清除断点对于断点范围，可以用*匹配，-表示一个范围，表达多个可用,号隔开程序入口伪寄存器WinDBG里有个伪寄存器叫$exentry，里面记录了程序的入口点。所以我们只要在命令输入栏里输入bp $exentry（bp就是用来下

2012-08-07 18:09:21 358

转载 DDK 中LIST_ENTRY的用法

数据类型 LIST_ENTRY另一个常见的 Windows 2000 数据类型是 LIST_ENTRY 结构。内核使用该结构将所有对象维护在一个双向链表中。一个对象分属多个链表是很常见的， Flink 成员是一个向前链接，指向下一个 LIST_ENTRY 结构， Blink 成员则是一个向后链接，指向前一个 LIST_ENTRY 结构。通常情况下，这些链表都成环形，也就是说，最

2012-07-09 10:34:08 410

转载 UNICODE_STRING 总结

UNICODE_STRING:typedef struct _UNICODE_STRING { USHORT Length; //UNICODE占用的内存字节数，个数*2； USHORT MaximumLength; PWSTR Buffer;} UNICODE_STRING ,*PUNICODE_STRING;参数定义：Length-----buf

2012-05-09 16:27:05 444

转载文件系统过滤驱动-Sfilter流程解析

1> IFS 流程图a.生成一个控制设备.当然此前你必须给控制设置指定名称.b.设置Dispatch Functions. c.设置Fast Io Functions. d.编写一个my_fs_notify回调函数，在其中绑定刚激活的FS CDO. e.使用wdff_reg_notify调用注册这个回调函数。f.编写默认的dispatch functions. g.处理

2012-05-09 14:04:17 1619

转载文件系统过滤驱动之文件重命名解析

转自：http://www.osronline.com/article.cfm?id=85What's in a Name? - Cracking Rename Operations Filter Drivers are one of the many different types of NT Kernel Mode Device Drivers. A filter driver i

2012-05-09 13:48:38 1341