windows kernel
文章平均质量分 65
Blue_Dream_
高级程序员,喜爱底层编程并从事相关软件开发,编程工具 VS.NET C/C ,ASM, Delphi
展开
-
实时屏幕传输
基本知识:有关 DDK 中的 mirror Driver:Mirror driver是Windows NT下的一种显示驱动,系统发往物理显卡的所有命令也同样发送给Mirror driver,可以在Mirror driver中可以模拟出当前系统的显示内容,因此称之为mirror 。利用这个特性,就能很方便的捕获到当前屏幕的内容以及系统要绘制的区域(变化部分),是一种速度很快的截屏方法原创 2007-08-24 09:15:00 · 6004 阅读 · 1 评论 -
页目录和页表结构
上图反映了如下信息:1、 进程的4G 线性空间被划分成三个部分:进程空间(0-3G)、内核直接映射空间(3G – high_memory)、内核动态映射空间(VMALLOC_START - VMALLOC_END)2、 三个空间使用同一张页目录表,通过 CR3 可找到此页目录表。但不同的空间在页目录表中页对应不同的项,因此互相不冲突3、 内核初始化以后,根据实际物理内存的大原创 2007-08-27 16:31:00 · 8557 阅读 · 3 评论 -
Hook 内核函数技术细节
刚开始看到通过 SSDT 来 HOOK ZwXXX 内核函数的方法时不是很了解, 等把 ZwXXX 反汇编后才发现技术细节.原来也没什么新鲜的,就是找到目标函数在 SSDT 中的位置( 偏移量=位置*4 ), 然后保存并替换偏移量处的值为自己新的函数地址就行了。 这种技术现在已是老掉牙了,不过在实际的软件开发中也比较常用, 可以实现各种监控功能.上次安了个诺顿, 它把所有的 ZwXXX 都给原创 2007-09-24 08:20:00 · 3897 阅读 · 0 评论 -
kernel Driver Dll 内核模式 DLL编写
内核DLL编写导出驱动程序缺少很多完整内核模式驱动应该有的特征。(1) 可以为 IRP 处理提供支持例程, 但它不接收 IRP, 所以它不包含派遣例程.(2) 不存在设备堆栈中(3) 在服务控制管理器中没有入口点函数(不作为系统服务)(4) 它确实有 DriverEntry 例程, 但仅仅是为了使代码能编译通过而已, 不被调用 (注: 程序编译时 bufferoverflowk.lib原创 2007-10-09 08:44:00 · 2996 阅读 · 0 评论 -
现代dump技术及保护措施(上)
现代dump技术及保护措施(上)引自: 看雪论坛,忘了地址现代dump技术及保护措施本文目的我们都喜欢使用免费的软件,这也就意味着需要有人对它们进行破解。而破解的时候就要对付各种各样的壳和protectors。壳的工作原理和脱壳的基本方法在《Packer终结篇》(NEOx, Volodya)一文中有不错的讲解。在此文中详细的讲解了PE文件格式以及protectors对它的利用方法。转载 2007-11-26 13:02:00 · 2023 阅读 · 0 评论