Windows 内核
朝阳她老公
人生南北多歧路,将相神仙,也要凡人做。百代兴亡朝复暮,江风吹倒前朝树。功名富贵无凭据,费尽心情,总把流光误。浊酒三杯沉醉去,水流花谢知何处?
展开
-
驱动中导出函数供其他驱动使用。
驱动可以在独立运行的情况下来导出函数让其他驱动调用的。 定义一个.def文件,就和dll导出时是一样一样的。 然后source文件里驱动类型改成EXPORT_DRIVER 然后加入def文件。 这样就可以啦。生成驱动的时候会生成一个lib文件。其他驱动导入lib文件和头文件即可调用。原创 2016-01-18 14:53:54 · 1254 阅读 · 0 评论 -
驱动查询设备总线类型
\\这个函数适用于minifilter BOOLEAN IsUsb(PFLT_VOLUME volume) { NTSTATUS status; KEVENT WaitEvent; PIRP NewIrp; PSTORAGE_DEVICE_DESCRIPTOR Descriptor = NULL; CHAR pBuffer[sizeof(STORAGE_DEVICE_DESCRIPTOR原创 2015-11-30 13:26:36 · 1424 阅读 · 0 评论 -
win7x64下实现进程保护
以前没有PG的时候,相信绝大部分人都是用的SSDT HOOK 来进行进程保护的。等有了PG该怎么办呢?答案就是用微软提供的 ObRegisterCallbacks 函数。 NTSTATUSObRegisterCallbacks ( _In_ POB_CALLBACK_REGISTRATION CallbackRegistration, _Outptr_ PVOID *Regi原创 2016-06-05 15:40:43 · 10614 阅读 · 2 评论 -
x64下SSDT表中值的含义
这是在win7 x64下查看ssdt表中数据: kd> dd fffff800`03e83300 fffff800`03e83300 0f68d000 02f55c00 fff6ea00 02e87805 fffff800`03e83310 031a4a06 03116a05 02bb9901 02b4f200 fffff800`03e83320 0312cc40 03dd7400 ...原创 2018-08-08 19:11:32 · 930 阅读 · 0 评论 -
Windows下CmRegisterCallback简单分析
IDA看一下 进入Internal函数 signed __int64 __fastcall CmpRegisterCallbackInternal(__int64 Function, __int64 Context, const void **CmLegacyAltitude, char c_1, _QWORD *Cookie) { __int64 _Context; // rsi __int6...原创 2019-07-23 18:03:36 · 864 阅读 · 0 评论