内核开发
学习记录
爱篮球爱IT
这个作者很懒,什么都没留下…
展开
-
玩转Windows服务系列——创建Windows服务
玩转Windows服务系列——Debug、Release版本的注册和卸载,及其原理ATL 服务原创 2021-04-15 16:00:09 · 180 阅读 · 0 评论 -
《寒江独钓 Windows内核安全》——串口的过滤
过滤是在不影响上层和下层的接口,在windows系统内核中加入新的层,从而不需要修改上层的软件或者下层的真实驱动程序,就加入了新的功能。1、用到的Windows APIIoAttachDevice——绑定到真实设备上(有名称的设备)/*IoAttachDevice例程将调用方的设备对象附加到命名的目标设备对象,以便将绑定到目标设备的I / O请求首先路由到调用方。*/NTSTATUS IoAttachDevice( PDEVICE_OBJECT SourceDevice, PU原创 2021-04-12 00:02:54 · 386 阅读 · 0 评论 -
Windows映像劫持调试程序
简介“映像劫持”,也被称为“IFEO”(Image File Execution Options),在Windows NT架构的系统里,IFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。当一个可执行程序位于IFEO的控制中时,它的内存分配则根据该程序的参数来设定,而Windows NT架构的系统能通过这个注册表项使用与可执行程序文件名匹配的项目作为程序载入时的控制依据,最终得以设定一个程序的堆管理机制和一些辅助机制等。出于简化原因,IFEO使用忽略路径的方式来匹配它原创 2021-03-20 17:07:39 · 453 阅读 · 0 评论 -
驱动开发——WDM+创建设备+与应用层交互
1、内核层代码#include <ntddk.h>#define DEVICE_NAME L"\\Device\\MyFirstDevice"#define SYM_NAME L"\\??\\MyFirstDevice"#define IOCTL_MUL CTL_CODE(FILE_DEVICE_UNKNOWN, 0x9888, METHOD_BUFFERED, FILE_ANY_ACCESS)void DriverUnload(PDRIVER原创 2021-02-02 22:31:52 · 343 阅读 · 1 评论 -
vs2015 + WDK10 + SDK10 编写WDM项目
1、下载地址VS2015 Community WDK10WinSDK102、虚拟机调试环境用来构造虚拟机远程环境,使用windbg调试内核,包括禁用驱动程序强制签名。VirtualKD-Redux-2020.5调试windbg加载、卸载驱动程序A1SysTest v0.3.0.1.exe3、编写驱动程序(一)新建WDM项目(二)新建main.c3、添加以下代码#include <ntddk.h>void DriverUnl原创 2021-02-02 00:05:53 · 456 阅读 · 0 评论