反汇编编程遇到的问题总结

反汇编编程遇到的问题总结 编写NtReadVirtualProcess反汇编代码的时候,遇到了一系列问题,记录一下,希望能给一些也是初入该领域的朋友带去帮助: 在此之前写过的几篇文章: 第五天 使用IDA反汇编系统NTReadVirtualMemory函数,模拟实现里边的部分函数 驱动与应用层简...

2013-10-31 18:52:17

阅读数 1337

评论数 0

windows 编程ReadProcessMemory 使用中遇到的问题解决

本次锻炼的本来是对ReadProcessMemory 里边的NtReadVirtualMemory 进行反汇编,为了验证反汇编成功,需要先使用NtReadVirtualMemory 的上层函数ReadProcessMemory去看看功能效果,ReadProcessMemory这个函数的声明是: ...

2013-10-30 16:08:53

阅读数 4370

评论数 0

MDL 详解(待深入理解)

原文地址:http://laokaddk.blog.51cto.com/368606/404588 以下的虚拟内存可以理解成逻辑内存,因为我觉得只有这样才能讲通下面所有的东西。以下的“未分页”指没有为页进行编码。 以下为MDL结构体(我很郁闷,我在MSDN上没有找到这个结构体) typede...

2013-10-29 19:05:44

阅读数 1109

评论数 0

从IRP说起(待深入理解)

原文地址:http://www.cnblogs.com/zhuyp1015/archive/2012/03/14/2396595.html 从IRP说起   IRP(I/O request package)是操作系统内核的一个数据结构。应用程序与驱动程序进行通信需要通过IRP包。当上层应用程...

2013-10-29 18:50:13

阅读数 938

评论数 0

驱动与应用层简单消息通信总结

驱动与应用层简单消息通信总结 参考: 驱动与应用层简单消息通信  http://www.cnblogs.com/einyboy/archive/2012/06/13/2548030.html GetLastError    http://www.cnblogs.com/carekee...

2013-10-29 18:01:05

阅读数 2425

评论数 0

VS2010生成exe在别的机子上运行提示“丢失MSVCR100D.dll”

方法(1) msvcr100d.dll下载,解决找不到msvcr100d.dll的问题是一款dll文件软件。 msvcr100d.dll下载,解决找不到msvcr100d.dll的问题DLL文件使用说明: 一、如系统提示"找不到msvcr100d.dll"或"...

2013-10-29 10:29:23

阅读数 4406

评论数 0

error C2220: warning treated as error - no ‘object’ file generated

WDK/DDK中掉 error C2220: warning treated as error - no ‘object’ file generated 网上搜索而来,保存 其实就是关掉编译选项的问题… 网上提得最多的就是修改 WDKPATH\i386.inc文件中的 MSC_WARNING_...

2013-10-28 16:58:07

阅读数 2498

评论数 0

ProbeForRead(),ProbeForWrite()

ProbeForRead(),ProbeForWrite()函数 ProbeForRead MSDN解释,ProbeForWrite MSDN解释 ProbeForWrite ( __inout_bcount(Length) PVOID Address, __in SIZE_T ...

2013-10-28 14:11:46

阅读数 2916

评论数 0

区分 WDM驱动和NT驱动(有待继续思考)

WDM由.inf文件加载,NT通过服务手动加载 WDM支持即插即用,NT不支持即插即用 WDM通过注册表指定挂载那个驱动,NT可通过寻找不同的设备对象指定挂载 没有INF,WDM也有加载成功的可能。但是运行会出问题,不信你弄个WDM的驱动,用DriverMonitor(加载NT驱动的工具...

2013-10-28 10:25:48

阅读数 1618

评论数 0

DO_DEVICE_INITIALIZING(待继续弄懂)

原文地址:http://blog.csdn.net/baund/article/details/7038521 DO_DEVICE_INITIALIZING 创建设备 iocreatedevice windows内核开发 deviceobject->flag &= ~DO_DEV...

2013-10-28 10:18:55

阅读数 931

评论数 0

线程安全

如果一段代码所在的进程中有多个线程在运行,而这些线程同时运行的结果与单个线程运行的结果是一样的,那么就是线程安全的,而线程安全基本上是因为全局变量和静态变量引起,因为这些变量在程序中可能被多个线程调用,而每一次调用可能会同时发生,导致本来A线程将X赋值为1,还没运行完,B线程同时也将它赋值为2,此...

2013-10-26 14:41:18

阅读数 755

评论数 0

[转载]SEH in ASM研究

原文地址:http://forum.eviloctal.com/thread-6883-1-32.html [转载]SEH in ASM研究 文章作者:Hume/冷雨飘心 为什么老调重弹: SEH出现已绝非一日,但很多人可能还不彻底了解Seh的运行机制;有关seh的知识资料...

2013-10-25 19:48:59

阅读数 867

评论数 0

ESP 寄存器

ESP 寄存器    http://hi.baidu.com/retrying/item/ac63fa10ff406501b88a1a7d EBP寄存器   在长期的编程和使用中,在程序员习惯中已经默认的给每个寄存器赋上了特殊的含义,比如:EAX一般用来做返回值,ECX用于记数等等。在win3...

2013-10-25 19:41:17

阅读数 1346

评论数 0

关于C++: try...catch...的汇编实现&相关讨论,FS

http://bbs.csdn.net/topics/310013285 SEH 异常原理: 在 Windows 下,fs:[0] 指向一个SEH 数据结构,当发生异时,系统会调用 SEH结构指向的错误处理函数,所以我们中要改变 fs:[0]里的内容就行了。原理如下: SEH结构: { ...

2013-10-25 18:10:26

阅读数 983

评论数 0

The use of FS/GS registers

转自【http://blog.csdn.net/coryxie/article/details/8551057】 博注:偶很少弄Windows的东西,偶尔因为RE了ntoskrnl.exe->ntoskrnl.c,发现里面很多__readfsdword(32),__readfsdw...

2013-10-25 18:05:00

阅读数 1488

评论数 0

try catch异常处理与SEH

转自:http://www.soft-bin.com/html/2010/08/06/try_catch_and_seh.html 作者: luckzj发表时间: 2010年8月6日本文链接: http://www.soft-bin.com/html/2010/08/06/t...

2013-10-25 17:50:28

阅读数 2029

评论数 0

使用IDA反汇编系统NTReadVirtualMemory函数,模拟实现里边的部分函数

首先是IDA的使用,打开VMware虚拟机,找到C:\Windows\system32\ntkrnlpa.exe,考到本地电脑,用IDA打开。 配置symbol标志文件:找到IDA文件下边的cfg\pdb.cfg,使用UltraEdit打开,第8行有个_NT_SYMBOL_PATH字符串,记住之后...

2013-10-25 10:56:36

阅读数 2158

评论数 0

驱动学习微博推荐

001:大神学习驱动编程的学习笔记:http://blog.sina.com.cn/s/articlelist_1641438774_0_1.html 002:钩子(HOOK)函数教程(一)  http://www.zdexe.com/program/list_2.html 003...

2013-10-24 19:36:54

阅读数 801

评论数 0

windows驱动开发学习,准备工作

va_list、va_start、va_arg、va_end的原理与使用    http://www.cppblog.com/qiujian5628/archive/2008/01/21/41562.html WDK采用WDF驱动模型,DDK是WDM驱动模型   http://bbs.csdn...

2013-10-24 19:31:11

阅读数 1047

评论数 0

SSDT hook学习资料以及总结问题

很想把调试后的代码发出来,但是由于是在公司写的,在此就不贴出来了,不过根据下边的这些资料,聪明的你一定可以把原理弄懂并且整出来的。 SSDT hook 的一点 疑问->获取服务地址用一句话就搞定 了,还用写个函数用内联汇编?KeServiceDescriptorTable.Servic...

2013-10-24 19:27:23

阅读数 1235

评论数 0

提示
确定要删除当前文章?
取消 删除
关闭
关闭