- 博客(10)
- 收藏
- 关注
RSS订阅转载 关于usbstor
usbstor生成2个设备,一个是作为磁盘设备栈的pdo,接收到由disk.sys生成的fdo设备下发的srb(irpStack->Parameters.Scsi.Srb)。一个是作为usb设备栈的fdo,将其转化为USB请求(urb)。 这里解释下:usbstor生成的fdo并没有收...
2015-09-08 22:45:00
1995
转载 嗯嗯。。。。校验光盘
NTSTATUSUnitReadyCompletionRoutine(PDEVICE_OBJECTDeviceObject,PIRPIrp,PVOIDContext){PDEVICE_EXTENSIONdeviceExtension;#...
2015-09-08 21:13:00
174
转载 CurrentControlSet/Control
CurrentControlSet/Control HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\hivelist 注册表HIVE文件列表 管理LM和USER下的 注册表路径指向的HIVE文件(CU的在ntuser.dat里) H...
2015-09-08 20:41:00
840
转载 passthru 2010-11-12
最近用passthru简单改了改,对tcp和udp的数据包做了个简单加密。贴个计算校验和的代码//计算校验和USHORTchecksum(USHORT*buffer,intsize){unsignedlongcksum=0;while(size>1)...
2015-09-08 20:28:00
107
转载 判断是无线网卡
KeInitializeEvent(&Event,NotificationEvent,FALSE);MyIrp=IoBuildDeviceIoControlRequest(IOCTL_NDIS_QUERY_GLOBAL_STATS,deviceExtension->...
2015-09-08 20:26:00
281
转载 做下小笔记
xp下磁盘对mbr读取的流程如上图。到了win7下IoReadPartitionTable放到了PartMgr中,如下图: win7下层次更加好了,如果想对磁盘的mbr做变换或者解密,直接弄个disk的上层过滤就ok了。当然xp下走hook也是可以,或者弄disk的下层过滤,反正是挺简单...
2015-09-08 20:25:00
106
转载 标记下常用的函数 2010-05-20
获得eprocess结构中的进程名偏移 void GetProcessNameOffset(){ PEPROCESS curproc; int i; curproc = PsGetCurrentProcess(); for( i = 0; i < 3*P...
2015-09-08 19:55:00
121
转载 驱动开发中应该注意的事项 2009-09-04
1. 一定不要在没有标注 I/O 请求数据包 (IRP) 挂起 (IoMarkIrpPending) 的情况下通过调度例程返回 STATUS_PENDING。2. 一定不要通过中断服务例程 (ISR) 调用 KeSynchronizeExecution。 它会使系统死锁。3. 一定...
2015-09-08 19:37:00
94
转载 从百度空间慢慢转移我的老博文
百度空间可怜的关闭了,慢慢把我的东西转移过来 转载于:https://my.oschina.net/u/727747/blog/502926...
2015-09-08 19:29:00
103
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人