Windows 内核驱动
文章平均质量分 61
Rain7758
服务器团队管理。技术专家。架构学习者。云计算。大数据。搜索引擎。个性化推荐。音频识别。保持阅读,保持思考。
展开
-
Windows 驱动:获取系统当前时间,生成格式字符串
可以按照以下步骤: 1. 用 KeQuerySystemTime() 获得当前的 GMT System Time. 这是一个从 1601-01-01 以来的计数(单位是 100ns)。 2. 调用 ExSystemTimeToLocalTime() 将 GMT System Time 值转换成当前时区的 Local System Time. 3. 用 RtlTimeToTimeFiel原创 2008-01-25 15:18:00 · 4821 阅读 · 0 评论 -
Windows 驱动:像 DbgPrintf 一样将调试信息输出到文件
运用的技术跟应用层大体一致,倒是互斥的问题干扰我很久。已开始使用的是 FastMutex,但是它会提升 IRQL 到 APC_LEVEL,显然写文件的服务函数都只能跑在PASSIVE_LEVEL 下,最后只好使用了 Event 。示例代码说明:GetCurrentTimeString() 详见前文:Windows 驱动中获取系统当前时间,生成格式字符串GetCurrentProces原创 2008-01-25 15:58:00 · 5339 阅读 · 0 评论 -
Windows 驱动:获取当前进程名
这是一个比较简单的问题,在 REGON 的源码中可以找到实现的相关代码,我只是把它们整理封装了一下。//// Process name max length: by bytes// (This value is 16 bytes in RegMon) //#define MAX_PROC_NAME_LEN 256//// This is the offset into a KPEB of t原创 2008-01-25 16:22:00 · 6958 阅读 · 3 评论 -
Windows 驱动: 消除核心内存的只读保护
在很多机器上 SSDT 表是不可写的,写即导致机器无提示崩溃重启。这是需要去除核心内存的写保护: //----------------------------------------------------------------------//// 设置核心内存访问保护////--------------------------------------------------------原创 2008-01-29 16:00:00 · 2413 阅读 · 0 评论 -
Windows 内核驱动:A more stable way to locate real KiServiceTable
By: 90210 Tan Chew Keong in his Win2K/XP SDT Restore 0.1 uses a simple way to find changed SDT entries - he just compares SDT from memory with SDT from ntoskrnl.exe file, assuming that KeServiceDesc转载 2008-09-28 11:10:00 · 1088 阅读 · 0 评论