驱动开发
文章平均质量分 81
futosky
这个作者很懒,什么都没留下…
展开
-
几个函数,留作参考
几个函数,留着查看:1、ObReferenceObjectByHandle: 用来获得一个File Handle对应的FileObject。 FILE_OBJECT fileob; stat=ObReferenceObjectByHandle(handle,GENERIC_READ,*IoFileObjectType,KernelMode,(PVOID*)&fileob,0); 用在ZwSetInformationFile(IN HANDLE FileHandle,原创 2011-01-31 18:34:00 · 322 阅读 · 0 评论 -
围绕SwapContext的一点代码
这次的胡乱探究原因在于看到了一个08年的帖子:· 标 题:HOOK SwapContext 枚举隐藏进程(学习笔记4)· 作 者:bzhkl· 时 间:2008-12-11 12:01· 链 接:http://bbs.pediy.com/showthread.php?t=78464都是很老的东西了,可惜很菜才开始关注这篇帖子讲了HOOK SwapCo原创 2012-03-21 19:56:14 · 986 阅读 · 0 评论 -
得到内核模块基地址
//参考:combojiang: http://hi.baidu.com/combojiang/blog/item/bfa7a6d9f1c913ee38012f28.html// combojiang: http://hi.baidu.com/hu3167343/blog/item/3fb1cc91e9582507d31b7023.html// combojia原创 2012-03-21 19:49:55 · 1162 阅读 · 0 评论 -
栈回溯笔记
/*栈回溯目的:已知函数B调用函数A,现欲得到函数B的地址,则可以inline hook A,在fake_funcA内部进行栈回溯,最终得到B的地址*//*使用OLLAYDBG跟踪~本练习程序的A函数地址:0x00401005 JMP TO 0x00401030真实的A函数地址B函数地址:0x0040100A JMP TO 0x00401070真实的B函数地原创 2012-03-21 19:45:44 · 643 阅读 · 0 评论 -
inline hook MmIsAddressValid
//用于inline hook#include KIRQL Irql;extern PEPROCESS pEprocess;/******************************************************************************************/// hook MmIsAddressValidULONG g_原创 2012-03-21 19:53:37 · 427 阅读 · 0 评论