- 博客(26)
- 资源 (604)
- 收藏
- 关注
RSS订阅原创 experiment : test CreateProcessWithLogonW
某人说 使用了 CreateProcessWithLogonW, 会导致句柄泄露.做了个实验,验证是否由此问题.他的应用是守护进程, 为了变于模拟被守护进程的结束, 写了2个测试程序.测试程序1 : 模拟被守护程序, 启动后, 一秒钟后自动退出.测试程序2: 模拟守护进程,当发现被守护进程退出后, 重新启动一份被守护进程.测试环境: Win7X64 + vs2008
2013-07-31 15:40:55
2378
原创 experiment : MiniFilter中CDO和CancelSafe的应用
WDK提供的例子:CDO : 可以实现R3与R0(MiniFilter)之间用DEVICE_IO_CTRONL通讯CancelSafe : 可以实现IRP的异步处理.在网上找不到一个完整的例子, 演示这两个Demo的应用.这几天, 实际工程中用到了这两个Demo的应用, 做了一个Demo, 用于演示这两个Demo的实际应用.工程下载:PPT
2013-07-30 10:26:34
1946
原创 experiment : CreateProcess 的参数问题
发现 CreateProcess 的参数2 __in_opt LPCTSTR lpApplicationName, 必须是Buffer, 而不能是一个常量指针./// @file prjTestHandle.cpp/// @brief 测试某人说的CreateProcess句柄泄漏问题/// build on vs2008#include "stdafx
2013-07-29 21:54:36
1131
原创 experiment : 基于wdk's cancelsafe 例程, 拒绝文件创建
WDK7600中提供了cancelSafe例程, 用于演示如何将挂起的IRP操作放入挂住队列.但是例子中在挂住队列WorkItem中的操作只是超时, 超时后, 还是会让文件继续按照原来的请求继续操作.我想做的是: 在基于MiniFilter的主防中, 遇到有r3请求的文件后缀文件被创建时, 将拦到的IRP操作插入挂住队列,返回挂住状态. 然后由r3决断, 是否对该文件创建操作放
2013-07-27 23:00:59
2391
原创 experiment : 逆向使用cpuid指令的函数
今天看到一段使用cpuid取cpu支持特性的函数. 这个程序使用vs2005写的, 里面有个变量居然可以有绝对的地址。有可能是C和ASM混编时, 有汇编代码指定的全局变量地址.代码中只用了那个变量的地址作为cpu特性判断时的掩码, 不知道咋搞出来的.逆了一下.void __cdecl fnGetCpuInfo(){ int bIsIntelCpu; // edx@7 in
2013-07-25 19:39:13
1389
原创 experiment : judge IRP_MJ_CREATE CreateDisposition on minifilter
为了判断文件建立时, 是否有可能建立新文件. 找了些资料, 只看到Data->Iopb->Parameters.Create.Options >> 24为什么? 见到的例子中都没说...代码中没有注释害死人啊./// @file IrpOptCallBack.c/// @brief ...#include "IrpOptCallBack.h"#inc
2013-07-24 00:37:35
1759
转载 Wdk FAQ : [FLTFL_OPERATION_REGISTRATION_SKIP_PAGING_IO] Why is this flag used here? (minifilter)
original url from : http://www.osronline.com/showthread.cfm?link=238116Q:Below is the registration structure:CONST FLT_OPERATION_REGISTRATION Callbacks[] = { { IRP_MJ_CREATE, 0,
2013-07-22 18:17:41
2079
原创 experiment : 对话框建立多个子窗口, 叠放, 显示一个
今天遇到一个对话框需要建立多个子对话框, 叠放在一起, 只显示其中一个的小任务.用掉了一些时间, 记录一下.效果图: 要点:在主窗体WM_MOVE消息处理中, 重新摆放子窗体, 使其叠放在一起, 只显示其中一个.void CSubDlgCreateAndMoveDlg::OnMove(int x, int y){ RECT rt; /
2013-07-18 02:20:21
3068
原创 experiment : test wdk's cdo sample in minifilter
WDK中有在minifilter中使用CDO来通讯(r3 r0)的例子 CDO工程位置 : \WinDDK\7600.16385.1\src\filesys\miniFilter\cdo 增加了r3测试程序用来通讯, 控制码的设备类型 应为 FILE_DEVICE_FILE_SYSTEM/// @file AppCommunicationWithDrv.
2013-07-17 18:38:35
1464
原创 experiment : 使用OD 调试带启动参数的程序
看到有这样一个问题: 怎么调试需要命令行启动的软件??没有命令行启动程序就自动关闭,命令行不是固定的,用od怎么调试这种软件?模拟一个需要命令行的Demo// srcCmdParamProg.cpp : Defines the entry point for the console application.//#include "stdafx.h"int _tm
2013-07-13 13:12:56
8167
转载 转载 : 汇编中的ASSUME
original url from : http://www.cnblogs.com/takeaction/archive/2011/03/07/1976558.html经常用来将寄存器当作结构体指针来用ASSUME edx:ptr STRUCT ;将edx 定义为STRUCT指针变量把STRUCT结构体的起始地址给edxlea edx, STRUCT这个时候可以用 [
2013-07-12 11:29:09
1534
原创 experiment : add struct define on IDA6.1
今天和某人讨论一段程序, 里面涉及了浮点数组的操作. 开始讨论这个带偏移的浮点数组操作是不是浮点数组, 他研究的深入, 猜测是结构中的浮点数组.原始PE经过IDA F5如下:double __cdecl sub_470A24(int a1){ double v1; // st6@1 signed int v2; // eax@1 double v3;
2013-07-11 15:54:07
1905
原创 experiment : asm fn_dword_adc
实验目的: 测试汇编命令 ADC 的用法, 实现[2个DWORD值相加]的功能; @file TestOpCode_Adc.asm; @brief test opcode ADC; @note build by RadASM; rdtsc need .586.586 .model flat,stdcalloption casemap :none .constSIZ
2013-07-09 20:55:40
1084
原创 整理 : WRK编译
网上的 [Windows.内核研究光盘]Windows.Academic.Program.by.zEalXP.iso 貌似是>的配套光盘.虚拟机直接装的WinServer2003SP1\WindowsResearchKernel-WRK\WRK-v1.2 拷贝到WinServer2003虚拟机写了2个批处理来编译WRKrem @file bld-wrk-en
2013-07-09 18:18:51
2996
原创 IDE : build WDK Code on sourceInsight
在sourceinsight中使用 Custom Commands 的官方说明:http://www.sourceinsight.com/docs35/ad1036756.htm使用 sourceinsight 集成WDK工具来编译WDK程序是轻量级的选择.sourceinsight 在非Windows平台也有版本, 在sourceinsight中集成外部工具以后也能用到.
2013-07-09 14:41:48
2201
转载 转载 : WRK安装与配置始末
original url from : http://bbs.pediy.com/showthread.php?t=125130WRK安装与配置始末最近买了本《Windows内核原理与实现》,书中是以WRK的代码为例讲述操作系统内核的。可书中配置WRK部分是以微软给的免费光盘的内容,配合了Virtual PC2007的虚拟系统。可在官网上并不是每个人都可以得到的,所以记录一
2013-07-08 19:29:25
1676
原创 experiment : 用OD下消息断点, 捕获按钮操作.
实验目的 : 想直接拦截按钮操作的消息处理, 分析按钮操作的逻辑.实验程序 : > 中附带的一个CrackMe. 使用OD加载目标程序, 当程序运行起来后, 填入Name和Sn, 暂停OD我们希望捕获[OK]按钮的消息处理.按钮消息属于WM_COMMAND, 按照消息名称排序, 好找一些.下完消息断电后, 确认一下是否消息断点已下.
2013-07-07 04:11:43
17024
原创 experiment : change main program entry
/// @file SrcChangeMainProgEntry.cpp/// @brief 用编译指示改变主程序入口点/// VS2008控制台程序#include "stdafx.h"#include #include #include ///< for getchar#include ///< for _ASSERT#in
2013-07-05 22:30:43
866
原创 experiment : 为IDA6.1产生mfc90u.dll的符号
工具要用到的工具 : ar2idt.exe, zipids.exe.工具在 i61f.rar\Hex-Rays.IDA.Pro.Advanced.IDS.Utilities.v6.1-RDW\idsutils61.zip\win\ 中转换在idsutils61.zip\win\ 解开后, 写了个批处理来转换.".\ar2idt.exe" "D:\Program File
2013-07-04 18:50:40
3147
转载 转载 : 被占用文件操作三法 [Ms-Rem]
original url from : http://old.blog.edu.cn/user1/14504/archives/2007/1637244.shtml被占用文件操作三法 [Ms-Rem][ 2007-2-3 0:35:00 | By: greatdong ] 被占用文件操作三法无疑我们中的很多人都会遇到需要读写被
2013-07-03 16:42:31
1425
转载 转载: 循序渐进学Minifilter(微过滤器) 之 一 (开篇)
original url from : http://bbs3.driverdevelop.com/read.php?tid-110761.html—本帖被 znsoft 设置为精华(2008-04-27)—<img src="http://ads.zndev.com/adview.php?what=zone:40&n=acc8df86" _xhe_src="http:
2013-07-03 16:15:34
7312
原创 SourceInsight 操作整理
SourceInsight 版本 : 3.5.0066调整字体安装后, 工程中默认的注释字体好难看.用鼠标点击需要修改的字体.字体选仿宋GB2312这回好看多了, 有点像VS编辑器里的样子.
2013-07-03 12:36:30
1646
原创 experiment : how to use CONTAINING_RECORD
CONTAINING_RECORD 在应用层程序很少使用, 因为一般情况下, 都知道该结构成员所在结构的指针地址.非回调的情况下, 一般都会传类指针或最上层的结构指针到函数.有回调的情况下, 一般不涉及使用该结构成员父结构的问题. 使用回调的入参本身就能搞定。用统计数据说话~, 在codeproject上搜索 CONTAINING_RECORD, 只能找到一个Demo使用
2013-07-02 19:27:48
938
转载 WDK 资料整理
WDK7600中例子的帮助文档位置今天在开始菜单上找WDK的例子索引帮助文件,始终找不到, 眼大漏神啊~* C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Driver Kits\WDK 7600.16385.1\Help\WDK Samples Index* 命令行输入"C:\Progr
2013-07-02 13:07:15
1916
原创 tools : append file to file
今天有下载到2个文件, xx.7z.001, xx.7z.002我只装了WinRar, 网上有资料说 可以用 copy /B, 合并文件后, 变成xx.7z, 然后用WinRar打开.试了一下, 小文件合并, 用Copy /B 是可以的。如果是大文件(这两个文件是600MB和100MB), Copy /B 失败最初的想法是, 不安装7z解压程序, 直接写个小工具合
2013-07-01 17:28:44
1397
原创 使用WinDbg作为默认调试器, 调试本机应用程序
今天在写一个文件合并小工具, 因为程序较小, 编译成Release版带调试符号, 直接运行的.后来改了点东西, 运行时突然报错.我以前已经运行过(WinDbg -I), 在本机已经将WinDbg作为默认调试器, 当报错时, 被WinDbg接住了~!analyze -v, 我没有看到源码崩溃行指示, 和我上次专门做的实验表现不一样.现在要加载工具的符号, 使 !a
2013-07-01 17:05:28
4693
pcasm-book-simplified-chinese.zip
2014-05-09
Advanced-Windows-Debugging-sources-awd.zip
2014-04-28
TrueCrypt 7.1a Source.zip
2013-11-01
filedisk-17-org.zip
2013-10-31
Sysinternals_Source.zip
2013-09-16
vs2010_Sample_C_plus_plus.zip
2013-08-08
DebugViewV4_81.zip
2013-03-13
srcSpyxx.zip
2012-09-30
ProcessExplorer
2011-11-05
cppunit-1.12.1.tar.gz
2011-08-30
STLport-5.2.1.tar.bz2
2011-08-20
工程目录结构模板设计_2011_0309_2054
2011-03-10
ResourceHack
2010-11-26
NTFS文件系统扇区存储探秘_电子书和随书光盘.7z
2019-03-18
Linux C程序设计王者归来_book_cd.7z.004
2018-08-22
Linux C程序设计王者归来_book_cd.7z.003
2018-08-22
Linux C程序设计王者归来_book_cd.7z.002
2018-08-21
Linux C程序设计王者归来_book_cd.7z.001
2018-08-21
eclipse-java-mars-2-win32-x86_64.zip
2017-04-21
International standard ISO/IEC C++98
2015-12-25
book code C语言名题精选百则
2015-12-16
depends22_x64.zip
2015-07-26
C++_Templates_The_Complete_Guide_book_code.zip
2015-06-14
quicktimesdk 7.3.0.70 for windows
2015-05-18
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人