- 博客(13)
- 资源 (64)
- 收藏
- 关注
原创 C++程序安装卸载WDM驱动
编译环境:VS2012 + WIN8 64 测试环境:VM WIN7测试对象:WDM驱动 (sys文件 和 inf文件)项目类型:Win32 Console Application代码如下:// WinInstallWin.cpp : //#include "stdafx.h"#include #include #include #include #
2013-07-31 21:56:01 13024 13
转载 Windows内核新手上路1——挂钩SSDT
Windows内核新手上路1——挂钩SSDT 这个系列记录学习我学习windows内核的点点滴滴,高手请直接无视。 文章核心内容:挂钩SSDT中函数列NtOpenProcess,NtDuplicateObject,NtCreateThread,NtOpenThread,NtWriteVirtualMemory,过滤进程操作来保护目标进程空间。 SSDT的
2013-07-29 15:13:55 2527
转载 MmGetSystemRoutineAddress和MiFindExportedRoutineByName函数的实现代码
MmGetSystemRoutineAddress这个函数也是比较有用的,是得到系统导出函数的地址,不过网上都是写了一堆汇编代码在哪里,根本没有可读性,还不如用IDA看呢。下面的函数是摘自ReactOS项目的代码: PVOID NTAPI MmGetSystemRoutineAddress(IN PUNICODE_STRING SystemRoutineNam
2013-07-29 13:45:45 2195
转载 WINDOWS下的各类HOOK
1、HOOK SERVICE TABLE:HOOK SSDT这种方法对于拦截 NATIVE API 来说用的比较多。SSDT hook,一句话——Windows把需要调用的内核API地址全都存在了一个表中(System Service Dispatch Table),要想hook一个内核API,比较简单的办法就是把该内核API在表(SSDT)中保存的地址修改为自己撰写的
2013-07-29 12:04:48 3589
转载 内核模式下的字符串操作
1)ASCII字符串和宽字符串 在应用程序中使用两种字符:a) char型字符串,负责记录ANSI字符集,它是指向一个char数组的指针,每个char型变量大小是一个字节,字符串是以0标志字符串结束的;b) wchar_t型的宽字符串,负责描述unicode字符集,它是指向一个wchar_t数组的指针,wchar_t字符大小为两个字节,字符串以0标志字符串结束。 例
2013-07-27 18:26:44 1092
转载 DbgPrint/KdPrint输出格式控制
在驱动编程学习中,往往需要通过DbgPrint或者KdPrint来输出调试信息,对于Check版本,KdPrint只是DbgPrint的一个宏定义,而对于Free版本,KdPrint将被优化掉。这些输出信息可以通过DebugView对内核的监控来看到。KdPrint is identical to the DbgPrint routine in code that is compiled in
2013-07-27 16:25:50 8911
转载 windows下把SD卡格式化成NTFS格式
因为手上4G的SD卡只当作U盘 来用,不用考虑手机使用的格式问题,就想着把它格式化成NTFS格式。NTFS格式的好处不用说了,可以自动压缩文件(无形中相当于增大了空间)、加密、 设置权限等等,具体的搜索一下很多介绍。 不过网上对SD卡能不能格式化成NTFS格式并没有太多的资料,以前曾试过把U盘格式化成NTFS格式就一切正常。想来SD卡也没有什么问题。 通过读卡器插入SD卡到电脑USB接
2013-07-20 21:16:20 21632 2
原创 游戏数据的捕捉(郁金香学习笔记)
最近学习郁金香视频 写下学习笔记以便以后查询. 1.得到角色对象属性角色属性是一个对象,通过生命值的变化 得到生命值地址 查看附近的内存得到其他属性 角色对象基地址 02EE5B9802EE5BE8 角色名字02EE5C68 生命地址 dword +4 内功 dword +8 愤怒值 dwor
2013-07-20 09:59:30 3565
转载 Windows内核新手上路3——挂钩KeUserModeCallBack
Windows内核新手上路3——挂钩KeUserModeCallBack1. 简介在Windows系统中,提供了几种方式从R0调用位于R3的函数,其中一种方式是KeUserModeCallBack,此函数流程如下:nt!KeUserModeCallback->nt!KiCallUserMode->nt!KiServiceExit->ntdll!KiUserCallbackDis
2013-07-20 09:31:25 1336
转载 Windows内核新手上路2——挂钩shadow SSDT
Windows内核新手上路2——挂钩shadow SSDT 文章核心内容:安全软件窗口保护、安全输入、截屏保护的一些思路。挂钩NtUserFindWindowEx、NtUserGetForegroundWindow、NtUserBuildHwndList、NtUserQueryWindow、NtUserWindowFromPoint、NtUserSetParent、NtUser
2013-07-20 09:31:02 1923
转载 SSDT结构简记
Windows内核新手上路1——挂钩SSDT 这个系列记录学习我学习windows内核的点点滴滴,高手请直接无视。 文章核心内容:挂钩SSDT中函数列NtOpenProcess,NtDuplicateObject,NtCreateThread,NtOpenThread,NtWriteVirtualMemory,过滤进程操作来保护目标进程空间。 SSD
2013-07-20 09:30:24 1174
原创 VS2012编译调试WDM驱动(KdPrint无调试信息 debugview win7无调试信息)
对于WDM驱动 VS2012有向导可以新建WDM项目 如图 这点说明不用自己配置 文件目录 C/C++ 选项 LINK 选项 等一系列的参数 比以前方便了不少新建以后是空项目 放入《windows驱动开发技术详解》中第一章的WDM代码分别是: HelloWDM.h#if __cplusplusextern "C"{#endif#include #ifdef _
2013-07-19 18:37:08 10636 3
转载 设备驱动程序INF文件——INF文件的节
INF文件的节 INF文件是一个文本文件,由许多按层次结构排列的节组成,他们以方括号中的节名称开始,如[Version]、[Manufacturer]等,后面是改接所含有的各个项,如Signature、DriverVer等。节中各项的基本定义格式为entry=value[,value…] 其中,“entry”标示项名称,“value”标示该想的取值。节名和项名称
2013-07-19 15:41:39 7044
字体wps.zip 用于linux wps 使用
2020-03-16
Nat_Type_Tester_.rar
2019-12-26
msfupdate.erb
2019-11-04
fuzz工具 teenage mutant ninja turtles
2019-01-14
Sybase ASE 12.5.4 PC 客户端
2018-12-12
Win32 OpenSSL
2015-04-18
ActivePerl
2015-04-18
编写 Debugging Tools for Windows 扩展 实例
2014-04-02
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人