大熊猫猪侯佩 (︶^︶)

hopy是一只贪吃贪睡爱鹅鹅的大熊猫猪

用windbg显示特定进程虚拟地址的方法

1 必须使用Livekd.exe启动

2014-07-03 21:29:53

阅读数 1308

评论数 0

[原创]NT系统信息察看工具 : NtInfoGuy

NT系统信息查看工具,GDT,IDT,SSDT,SSDTSDW,SYSMOD,SYSVAL

2010-07-17 17:40:00

阅读数 4781

评论数 10

[原创](2010.02.07更新)忙里偷闲中写的一个系统物理/虚拟内存查看器。

[原创]忙里偷闲中写的一个系统物理/虚拟地址内容查看器     都是老技术,没啥新意。为了方便我在调试中要了解虚拟或物理内存的情况编写的,懒得装WinDbg 的情况下比较方便。程序在gccNTDrvFrame(我以前写的gcc下的NT驱动通用开发包)的基础上扩展, 并且由于直接使用微软“特有”的_...

2010-01-09 19:09:00

阅读数 8483

评论数 17

[原创]W2k Driving 学习笔记(二)使用GCC创建 Windows NT 下的内核DLL

         再温习>分层驱动程序一章的时候,看到了关于紧耦合驱动连接方式,这种方式不依赖于I/O管理器的串联,而是直接调用内核例程,这样可以大大的提高驱动的执行效率。     为了实现这样一种功能,必须提供一种类似于在用户模式中DLL的机制,只不过该"DLL"是加载...

2009-02-21 12:04:00

阅读数 2102

评论数 3

[原创]W2k Driving 学习笔记(一)内核线程及同步

[大体流程]Win32与Kernel交互,从User层向内核发送2个请求:0 IOCTL_Start_Thread : 从内核新建一个线程,最多建立MAX_THREAD_NUM个线程;1 IOCTL_Stop_Thread : 关闭刚才建立的所有线程;每个线程做同样的事,每次将变量Count增加1...

2009-02-20 08:01:00

阅读数 2510

评论数 4

[原创]再谈 unlocker 编程”探险”及工作原理

Normal 0 7.8 磅 0 2 false false false MicrosoftInternetExplorer4 <object classid

2008-11-10 14:39:00

阅读数 9984

评论数 23

[原创]Unlocker加强版技术特征

                                                                 Unlocker加强版技术特征 Unlocker是一个偶闲时写的小工具,主要功能有: 1. 解锁已打开文件; 2.建立以特定用户身份的shell。上一个版本的概述在:原...

2008-04-27 22:17:00

阅读数 2209

评论数 2

[原创]浅谈如何使用gcc开发NT核心驱动程序

 [原创]浅谈如何使用gcc开发NT核心驱动程序     一谈到在 Win NT 下开发核心驱动程序,可能不少人首先都会想到微软“正统”的VC来。诚然,用VC 配合 WINDDK 的确工作的不错,但或许我们可以让其变得更简单更完善一些。    其实偶一般是用 Masm32v9 + EditPlus...

2008-04-11 13:53:00

阅读数 2279

评论数 3

[原创]另一种进入NT内核方法的汇编版本

要说明的是该方法本身不是我的原创 ,是其他大牛首先写出来的。而我只是将该方法的C版本 "翻译" 成 masm32 版本。: ) .386.model flat, stdcalloption casemap:noneinclude  c:masm32includewindows....

2008-01-09 16:12:00

阅读数 3382

评论数 1

[转贴]内核级HOOK的几种实现与应用

内核级HOOK的几种实现与应用 作者: sinister 内核级HOOK的...

2007-09-25 16:12:00

阅读数 2237

评论数 1

[原创]和DriverStudio过不去之加强版:)

和DriverStudio"过不去"之加强版 (>系列2)         上篇仅仅说到如何抢先DriverStudio,并在结尾留给大家一个遐想。现在我进一步拓展这个遐想,从而给大家更多的遐想。: )        那么现在我要给这个驱动增加新的功能,不但抢先Drive...

2007-09-18 17:29:00

阅读数 2827

评论数 0

[转贴]利用伪造内核文件来绕过IceSword的检测

[转贴]利用伪造内核文件来绕过IceSword的检测 作者:倪茂志邮件:backspray008@gmail.com完成于:2005.12.20文章分为八个部分:  一、为什么需要伪造内核  二、伪造内核文件  三、隐藏进程  四、隐藏内核模...

2007-09-16 22:00:00

阅读数 1779

评论数 0

[原创]抢先DriverStudio夺取机器控制权

  [原创]抢先DriverStudio夺取机器控制权          废话不谈,言归正传!      大家都知道,装了DriverStudio软件(我使用的是v3.2版)的系统在启动时会显示其配置画面,(如图0所示)                                图 0 这时操...

2007-09-16 15:15:00

阅读数 1841

评论数 0

[转贴]了解 Windows Vista 内核

暂时3部分,以下是连接:了解 Windows Vista 内核:第一部分 概览: 线程优先级和...

2007-09-14 23:27:00

阅读数 3188

评论数 3

[转贴]Gloomy对Windows内核的分析(研究CreateProcess)

                      (转载)Gloomy对Windows内核的分析(研究CreateProcess)我给出一个反汇编Win32 API函数CreateProcess的例子,来演示研究子系统的技术,同时演示Win32是如何与Windows NT的执行系统协同工作的。从MSDN...

2007-09-10 16:33:00

阅读数 1780

评论数 0

[转贴]在Windows 2003中HOOK ZwCreateProcessEx

以下部分全部为转贴,特此声明!***********************************************************在Windows 2003中HOOK ZwCreateProcessEx创建时间:2005-03-09文章属性:原创文章提交:suei8423 (su...

2007-09-10 16:23:00

阅读数 2066

评论数 0

[转贴]提升进程权限为debug权限,无法禁止进程

 提升进程权限为debug权限,无法禁止进程2007-03-30 20:58 在2004年11期黑防上刊登了《小工具巧删Guest/Administrator账户》这篇文章,有不少朋友来信询问工具是如何编写的,其实这个工具里面大...

2007-09-10 16:16:00

阅读数 3049

评论数 2

浅谈NT下Ring3无驱进入Ring0的方法

[原创]浅谈NT下Ring3无驱进入Ring0的方法 关键字:NT,Ring0,无驱   (测试环境:Windows 2000 SP4,Windows XP SP2. Windows 2003 未测试)   在NT下无驱进入Ring0是一个老生常谈的方法了,网上也有一些C代码的例...

2007-01-14 17:44:00

阅读数 11148

评论数 17

[原创]我写的一个观察系统进程特定虚拟地址页PTE的工具

观察系统进程特定虚拟地址页PTE的工具关键词:虚拟地址,PTE  为了便于研究windows内核,我写了一个察看系统中特定进程虚拟地址页的PTE工具,CPP v1.0(Check Process PTE),界面图1所示:                                       ...

2006-12-22 11:48:00

阅读数 2814

评论数 2

Windows 核心编程研究系列之二:读取指定物理内存地址中的内容

[原创/讨论] Windows 核心编程研究系列之二: 读取指定物理内存地址中的内容 关键字:windows内核,物理内存   大家知道在windows NT中,如果已知虚拟地址可以通过 进程页表或者内核提供的MmGetPhysicalAddress来取得对应的 ...

2006-12-19 21:45:00

阅读数 7410

评论数 4

提示
确定要删除当前文章?
取消 删除