GaA.Ra的自留地 in Csdn

VC6+WinDDK:    1.按照windows驱动开发技术详解(张帆编)的说明,包含目录在vc6当中记得提升到最上面,不然会出现这样那样的错误.    2.提示'specstrings.h': No such file or directory,把inc下面的crt目录也包含进来可以解决    3.提示类似missing ';' before identifier 'Lock',请把wxp的包含目录去掉,包含需要的目录(请试试wdm目录),另外参考第一条    4.如果提示编译器不支持编译,cl.ex

<br />    声明:高手请一笑而过.>_<<br /> <br />    文件系统过滤驱动开发(一)里面已经讲了文件系统过滤驱动绑定设备的大概思路,剩下的就是一些细节处理部分.<br /> <br />    首先说说fast I/O派遣函数,我们知道,IRP是默认的I/O请求处理机制,IRP可以用于同步或者异步I/O,也可以用于缓存和非缓存I/O,同时还可以用于分页I/O.内存管理器通过发送合适的IRP到文件系统以处理缺页错误.快速I/O是是特别设计用于缓存文件的快速同步I/O.在快速I/O操作中

    声明:本文无太多新意,只是介绍下学习经验,大神级人物(如总监大人)请略过,谢谢合作>_这本书,搭了个环境之后,其实也没碰很多,编了个经典的Hello,World!之后就无太多后续动作,暑假嘛,你们懂的,学习无压力.上学期断断续续算是把基础啃完了(其实也只是啃完-__-),就到了万恶的期末考试复习月.寒假开始着手过滤驱动这一块的学习,然后学期一开始就忙着这个SIG的项目.到现在的感觉就是,思路是有,但是有一些地方找不到切入点,光查资料就花很多时间.现在分享一下我的学习心得,不对之处,敬请指出.   

    在IRP_MJ_CREATE里面能够得到的调用ZwCreateFile传递的参数值,分析参数获取所需要过滤的文件信息.    详细说明的请参考下面代码框内容:/*++1.irpSp->Parameters.Create:struct { PIO_SECURITY_CONTEXT SecurityContext; ULONG Options; USHORT POINTER_ALIGNMENT FileAttributes; USHORT ShareAccess; U

<br />    昨天赶了个界面出来,比较水,将就一下,总结大会过了之后准备果断重构一遍.上图<br /><br /> <br />    一个Ring0下的exe,跟驱动通信的,简单通信(DeviceIoControl)和一个文件系统过滤驱动,基本完成的功能是对指定进程的文件操作进行重定向.录了两个测试视频,不过优酷可能看不太清,有兴趣的同学请猛击(不过这个是无解说的...)<br /> <br />    正常程序测试:http://v.youku.com/v_show/id_XMjY3Nzg0Nzc

内核当中已经导出了KeServiceDescriptorTable,可以直接在Windbg当中使用dd命令查看,对于Shadow SSDT的地址,在WinXP当中,地址是KeServiceDescriptorTable-0x40.为了查看win32k的SYSTEM_SERVICE_TABLE,记得要切换到具有图形界面的进程上下文当中才能正确查看.KeServiceDescriptorTableSh

好吧,我胡汉三肥来了..(确实肥了- -),几个月没发什么文章.其实.我也只是一个新丁~欢迎大家交流,高手勿喷,谢谢合作^_^    对于SSDT,不知道的同学请自己百度,判断出SSDT被HOOK之后,如何恢复成原始服务地址?主要方法有两个,简单来说,一个Ring0,一个Ring3的方法(可能分类不够准确),我今天除了介绍方法之外,主要还是讲讲里面的原理吧,原理神马的才是最吸引人的对吧.