- 博客(27)
- 资源 (604)
- 收藏
- 关注
原创 experiment : 封装 xxPagedLookasideList API
LookasideList 分为分页和非分页操作, 下面列出. API都不同, 用起来不方便, 不方便记忆, 看着眼晕~分页APIExInitializePagedLookasideListExAllocateFromPagedLookasideListExFreeToPagedLookasideListExDeletePagedLookasideList
2013-05-31 19:19:53 1253
原创 experiment : thread on drv
函数声明void CreateThreadForTest();void ThreadForTest(IN PVOID pContext);建立线程 /// the code on DriverEntry CreateThreadForTest();运行结果kd> g>> CreateThreadForTest>> Thread
2013-05-31 17:14:30 1192
原创 note : current IRQL value on driver
内核层每个API都有运行需要的IRQL级别, 如果API需要的IRQL级别 这里整理 驱动框架中, 每个函数的当前IRQL级别值. 常用的IRQL级别值有以下3个:#define PASSIVE_LEVEL 0 // Passive release level#define APC_LEVEL 1 // A
2013-05-31 14:22:38 777
原创 alg : 单向链表排序
采用的是冒泡排序 + 插入节点, 操作的是指针不是数据.支持单向链表回环, 非回环.支持单向链表升序,降序排列.排序函数:BOOL ListSort(PNODE * ppNodeHead, BOOL bSortBySmallToBig){ BOOL bListIsLoop = FALSE; ///< 链表是否回环 BOOL
2013-05-31 00:37:34 2628
原创 资料: vs2008IDE操作
在VS2008编辑器中显示第80列的边界, 防止每行代码写的过长.方法1:使用VA来设置今天发现通过VA设置的vs2008代码编辑器右边界没有了, VA不靠谱啊~仿照vs2005中的做法, 使vs2008自己设置编辑器 右边界.Windows Registry Editor Version 5.00[HKEY_CURRENT_USER\Softw
2013-05-30 22:58:20 1045
原创 alg : 单向链表逆序 on drv
算法参考: http://blog.sina.com.cn/s/blog_4c1934d5010093ky.html算法的思路: 遍历原始链表, 摘出每个元素, 作为新链表的头节点. 上一次摘出的原始链表元素作为本次摘出元素的Next节点. 当遍历完原始链表后, 新的链表就是逆序的单向链表. 我考虑了单向链表为回环的情况, 在驱动层实现了一次. 实验过了,
2013-05-29 18:19:19 1940
原创 结构成员字节自然对齐的验证
// test1020.cpp : Defines the entry point for the console application.//#include "stdafx.h"#include #include /// 结构内的字节自然对齐方式是"4Bytes对齐"/// 实际的对齐规则还蛮繁琐的, /// 所以:/// * 结构中的成员最好还是size小的放在前面, 比
2013-05-25 00:59:00 1039
转载 x86 PSW 图解
original url from : http://jpkc.zzu.edu.cn/hbyycai/flash/list.asp?id=7
2013-05-24 11:56:57 1055
转载 汇编cmp比较指令详解
original url from : http://laokaddk.blog.51cto.com/368606/284280cmp(compare)指令进行比较两个操作数的大小例:cmp oprd1,oprd2为第一个操作减去第二个操作数,但不影响第两个操作数的值它影响flag的CF,ZF,OF,AF,PF我们怎么判断大小呢?若执行指令后
2013-05-24 11:30:07 4385
原创 编译后生成汇编代码列表文件
Release版文件编译后, 会做优化, 如果想看Release版文件, 需要用IDA或OD载入看反汇编代码, 不方便.修改vs2008的工程设置, 产生汇编列表文件. 如果只是想看看反汇编代码, 看生成后的Release\Cod文件.每个.cpp都会对应一个cod文件; 115 : iRange = iNumber / 13; 00000 b8
2013-05-22 15:59:36 3347
转载 汇编Lea 指令与 Mov 指令
original url from : http://www.cnitblog.com/textbox/articles/51912.html比如你用local在栈上定义了一个局部变量LocalVar,你知道实际的指令是什么么?一般都差不多像下面的样子: push ebp mov esp, ebp sub esp, 4 现
2013-05-22 10:47:32 1734
原创 experiment : asm : 函数参数在堆栈中的位置
源程序#include "stdafx.h"#include #include int Add(int a, int b);int _tmain(int argc, _TCHAR* argv[]){ int x = 1; int y = 2; _tprintf(L"Add(%d, %d) = %d\r\n", x, y, Add(x,
2013-05-18 08:28:01 1473
转载 使用Lookaside结构来申请和释放内存
original url from : http://hi.baidu.com/jjxiaoyan/item/68ff440bebe0fdce905718cf使用Lookaside结构来申请和释放内存在频繁的申请和释放内存中,在内存中会产生所谓的“空洞”,其实是Windows内存管理的不智能所造成的。在《Windows驱动程序开发详解》第五章第三节中
2013-05-14 17:37:24 1173
原创 alg : 找1 to N的质数(筛法)
算法思路参考 : 质数筛法 : http://blog.csdn.net/program_think/article/details/7032600在驱动层实现了一个质数筛法./// @file Function.h/// @brief 功能的实现#ifndef __FUNCTION_H__#define __FUNCTIO
2013-05-11 05:01:49 917
转载 DDK下的Sleep函数KeDelayExecutionThread
original url from : http://www.programlife.net/ddk-kedelayexecutionthread-like-win32-sleep-api.html许多读者一定使用过Sleep函数。这能使程序停下一段时间。许多需要连续、长期执行,但是又不希望占太多CPU使用率的任务,可以在中间加入睡眠。这样能使CPU使用率大大降低。即使睡眠的时间非
2013-05-08 17:34:51 870
转载 Windbg内核调试之三: 调试驱动
original url from : http://www.cnblogs.com/Sonic2007/archive/2008/03/27/1125632.html这次我们通过一个实际调试驱动的例子,来逐步体会Windbg在内核调试中的作用.由于条件所限,大多数情况下,很多人都是用VMware+Windbg调试内核(VMware的确是个好东西).但这样的调试需要占用大量的系
2013-05-08 13:59:30 930
转载 Windbg内核调试之一: Vista Boot Config设置
original url from : http://www.cnblogs.com/Sonic2007/archive/2008/03/20/1114807.htmlWindbg进行内核调试,需要一些基本的技巧和设置,在这个系列文章中,我将使用Windbg过程中所遇到的一些问题和经验记录下来,算是对Kernel调试的一个总结,同时也是学习Windows系统内核的另一种过程。
2013-05-08 13:57:59 901
转载 PsTerminateProcess结束进程
original url from : http://www.cnblogs.com/gussing/archive/2009/08/11/1543820.htmlPsTerminateProcess结束进程PsTerminateProcess函数用于结束一个进程,其声明如下NTSTATUS NTAPI PsTerminateProcess(IN PEPRO
2013-05-06 21:03:57 1936
原创 expriment: 找API的特征码
Demo中的例子是找 PspTerminateProcess, 基于WinXp的.虚拟机是Win7X86家庭普通版, ring0中没有这个API.kd> u PspTerminateProcessCouldn't resolve error at 'PspTerminateProcess'在 nt! 中模糊查找, 找到另外一个API PsTerminateProcess, 参数
2013-05-06 20:47:34 1818
转载 Zw*与Nt*的区别
original url from : http://hi.baidu.com/xlsdg/item/31141717d15f94701009b5c7Zw*与Nt*的区别某些Zw*和Nt*函数既在ntdll.dll中导出又在ntoskrnl.exe中导出,他们有什么区别呢?我们分三部分比较:step 1: ntdll.dll中的Zw*和Nt*有什么区别?step 2:
2013-05-06 17:35:38 975
原创 experiment: view ssdt's api on windbg
实验环境: windbg+win7x86家庭普通版+vmware9SSDT结构定义typedef struct _SYSTEM_SERVICE_TABLE { PVOID ServiceTableBase; //这个指向系统服务函数地址表 PULONG ServiceCounterTableBase; ULONG NumberOfService; //服务函数的个数
2013-05-06 14:31:10 1434
转载 SSDT
original url from : http://baike.baidu.com/view/1077958.htmSSDT(System Services Descriptor Table),系统服务描述符表。这个表就是一个把ring3的Win32 API和ring0的内核API联系起来。SSDT并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服
2013-05-06 13:00:16 751
转载 通过对系统分派表的直接还原,防御内核本地API钩子(翻译) 分享
original url from : http://taianmonkey.blog.sohu.com/84297540.html通过对系统分派表的直接还原,防御内核本地API钩子介绍win32内核rootkit通过挂钩本地内核的API去修改系统的行为。这项技术通常是通过修改内核中的系统服务分派表(System Service Dispatch Table)来实现的。这样的修
2013-05-06 12:51:08 1143
转载 IDE : Windbg操作整理
行数指示bl 看见断点列表后, 源文件的行号要打开该源文件, 将光标挪到该源文件, 看状态栏的行数指示.反汇编地址u module!function L长度u 地址 L长度反汇编该地址, 反汇编内容的长度为制定长度反汇编函数uf moudle!function反汇编该函数, 指定模块函数符号名或直接指定地址kd> uf n
2013-05-06 00:00:30 2856
原创 note : OD操作整理-API断点的设置;寄存器的修改;数据的查看
中断的设置断点列表和代码的切换断点的操作与切换转到表达式, 用于在汇编窗口直接查找API查找程序中使用的API,并对关注的API下端点.确定在程序领空内. 需要在主程序领空查看API列表. 如果在系统DLL中, 查看的API列表就是那个DLL调用的API列表.可以在程序入口点到主视图或主对话框出来之前, 查看主程序用到的API列表.也
2013-05-04 13:01:20 4101
原创 alg : 单向链表回环的判断 on drv
单向链表回环的判断可以用步长法这个实现 : 选择单向链表中的任一节点, 遍历单向链表, 判断是否能回到同一节点.demo: /// 建立链表 CreateList(&pNode, 6); ///< 建立拥有N个节点的单向链表 ShowList(&pNode); /// 判断单向链表是否回环 DbgPrint("List loop
2013-05-01 02:48:29 1170
pcasm-book-simplified-chinese.zip
2014-05-09
Advanced-Windows-Debugging-sources-awd.zip
2014-04-28
TrueCrypt 7.1a Source.zip
2013-11-01
filedisk-17-org.zip
2013-10-31
Sysinternals_Source.zip
2013-09-16
vs2010_Sample_C_plus_plus.zip
2013-08-08
DebugViewV4_81.zip
2013-03-13
srcSpyxx.zip
2012-09-30
ProcessExplorer
2011-11-05
cppunit-1.12.1.tar.gz
2011-08-30
STLport-5.2.1.tar.bz2
2011-08-20
工程目录结构模板设计_2011_0309_2054
2011-03-10
ResourceHack
2010-11-26
NTFS文件系统扇区存储探秘_电子书和随书光盘.7z
2019-03-18
Linux C程序设计王者归来_book_cd.7z.004
2018-08-22
Linux C程序设计王者归来_book_cd.7z.003
2018-08-22
Linux C程序设计王者归来_book_cd.7z.002
2018-08-21
Linux C程序设计王者归来_book_cd.7z.001
2018-08-21
eclipse-java-mars-2-win32-x86_64.zip
2017-04-21
International standard ISO/IEC C++98
2015-12-25
book code C语言名题精选百则
2015-12-16
depends22_x64.zip
2015-07-26
C++_Templates_The_Complete_Guide_book_code.zip
2015-06-14
quicktimesdk 7.3.0.70 for windows
2015-05-18
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人