- 博客(9)
- 资源 (67)
- 收藏
- 关注
原创 基础IRP 和I/O Stack location 的关系
对于刚学驱动的人来说,或许对IRP和IO stack location的关系还有点不清楚。这里就说说他们之间的关系。具体IRP 和IO stack location相关知识,会在以后文章中说明。下面先放上IRP和IO stack location结构的定义。可惜的是IRP是半透明的。 typedef struct _IRP { . . PMDL MdlAddres
2009-12-29 21:50:00 5367
原创 _chkstk()分析及注意点
_chkstk()这是一个用来分配堆栈用的。源码如下_chkstk:push ecxcmp eax,1000hlea ecx,[esp+8]jb lastpageprobepages:sub ecx,1000hsub eax,1000h
2009-12-21 16:16:00 5778
原创 基础驱动和设备对象关系
没事写点基础的东西,有写的不当的地方,希望能指出。 写过驱动或者正在学习驱动编程的人可能都碰到了驱动对象和设备对象。DriverObject和DeviceObject的关系。这里就做个说明吧。首先来看看这两个结构体定义,从中我们可以发现一些有意思的东西。typedef struct _DRIVER_OBJECT { CSHORT Type; CSHOR
2009-12-19 16:07:00 1199
原创 64位vista,win7中KeServiceDescriptorTable问题
最近在移植64位驱动,原本在32位驱动中使用到了KeServiceDescTable进行SSDT Hook等。但是在64位系统上是不允许进行SSDT HOOk的。在64位的XP系统上,使用到这个导出符号式没有问题的。但是在64位Vista和Win7下面,如果使用了这个符号,那么你在加载驱动的时候,返回的错误是找到不指定文件。在修这个bug真是有点吃力,只能一点点个跟进去,还好手边有WRK
2009-12-11 15:14:00 3201 1
原创 64位系统应用层获取peb
最近在搞64位系统移植。今个把在获取peb的问题描述一下。在32位系统下,我们都知道可以简单的通过内联汇编得到fs:30位置的就是peb的地址,也可使用NtQueryInformationProcess得到。其实在64位系统上也可以使用上面的方式简单的获取到,但必须你的应用程序是64位的。 我们现在要将的就是不改变我们现有的32位应用程序来正确的获取到peb的地址。大家不妨试试,直接将
2009-12-06 09:54:00 6251 3
转载 载入未签名的驱动程序在Windows 7和Vista 64位(x64)
为感谢所有的意见,现在我知道,有黑客,可以使Windows 32位“地址/承认”以上的内存4GB,但您仍无法使用它。 To be able to fully utilize more than 4GB, you will still need a 64-bit of Windows.为了能充分利用超过4GB的,你仍然需要一个64位的Windows。 Most common problem that
2009-12-03 14:33:00 20230 2
原创 如何使用windbg调试vista,win7
在Vista中已经全面采用BootConfig的工具, 所以要设定 Kernel Debug必须遵照以下的步骤才能设定成功. (1) 执行 Command Prompt 时, 以 Administrator 的身份. 因为只有 Administrator 身份才有权限改变 Boot Config, 其它的 Account 都不行 (即使是具有 Administrator 的权限也不
2009-12-03 12:57:00 4298
翻译 FsRtlCheckOplock简单描述
FsRtlCheckOplock简单描述 原文:http://www.osronline.com/article.cfm?article=223 FsRtlCheckOplock这个历程目前(2003 IFS kit)还是没有文档化。因而,对于如何使用以及能做什么还不太清楚。本文将会试着去描述如何使用这个API。
2009-12-02 21:50:00 1772
原创 基于pspCidTable的进程检测技术
基于pspCidTable的进程检测技术 -----------------------------------------------一. pspCidTable概念及内核调试二. 获取pspCidTable的方法三. 几种进程检测方法的对比四. anti-pspCidTable技术及其他一. pspCidTable概念及内核调试--------
2009-12-01 22:16:00 1082 1
Compuware Devpartner Studio 9.0.2 Professional 种子和破解文件
2010-11-02
微软过滤驱动内存管理smbios说明等技术文档
2010-04-09
icrosoft Windows Internals Fourth Edition(2004).chm
2009-04-10
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人