驱动
宇文仲竹
这个作者很懒,什么都没留下…
展开
-
驱动开发-遍历进程
理论来源:http://www.weixianmanbu.com/article/749.html总结:!Process 0 0 进程列表dt _eprocess ----提示无改命令时使用.reload /f nt dt _eprocess 进程地址 --得到进程详细信息DDFF进程地址+0x88 --得到下个进程地址结构指针地址结构指针-0x88原创 2017-10-18 15:38:39 · 896 阅读 · 0 评论 -
驱动开发-结束进程
在"遍历进程"的基础上做结束进程的操作:参考:http://blog.csdn.net/u013761036/article/details/67768262实现结束notepad.exe进程代码:#pragma once#include #include //win7x86#define FLINKOFFSET 0x00b8#define PEBOFFSET 0x01a原创 2017-10-18 18:33:22 · 521 阅读 · 0 评论 -
初学驱动开发-windows驱动-键盘过滤驱动
在入口DriverEntry函数做主要操作1.AttachSysDevice(pDriverObject, L"\\Device\\KeyboardClass0");2.取消关联驱动设备对象 pDriverObject->DriverUnload=DetachSysDevice;3.添加IRP_MJ_READ并且参考代码实现DispatchRead实例代码如下:原创 2016-08-10 13:42:57 · 1057 阅读 · 0 评论 -
初学驱动开发-文件+注册表
在前几篇的基础上增加文件读写和注册表操作主要由函数TestFile 和 TestReg 来实现#ifdef __cplusplusextern "C"{#endif#include #ifdef __cplusplus}#endif #define PAGEDCODE code_seg("PAGE")#define LOCKEDCODE code_seg()#define INITC原创 2017-06-23 16:25:57 · 387 阅读 · 0 评论 -
Ring0 运行 Ring3 应用程序 初始版
代码来源网络,初步修改代码后实现win7 x86 sys启动 notepad.exe技术要点:1.获取 KeResumeThread和NtSuspendThread的地址 主要代码:/*****************************************************************************************转载 2017-10-13 15:33:22 · 1293 阅读 · 0 评论 -
初学驱动开发-windows驱动-命令行编译环境
1.下载并安装WDK76002.打开开始菜单Windows Driver Kits\WDK 7600.16385.1\...3.(配置临时环境路径)新建setIncludeXP.bat编辑内容 其中paths值为wdk安装文件对应的一个是头文件,一个是库文件位置set paths=D:\WinDDK\7600.16385.1\increm set include=%inclu原创 2016-08-08 17:47:53 · 3928 阅读 · 0 评论