- 博客(27)
- 资源 (35)
- 问答 (1)
- 收藏
- 关注
转载 hook_导出表eat
#include <ntifs.h>#include <ntimage.h>typedef VOID(__stdcall *KEATTACHPROCESS)(IN PRKPROCESS Process);KEATTACHPROCESS OldKeAttachProcess;UCHAR *PsGetProcessImageFileName(IN PEPROCESS ...
2017-05-28 17:55:21 783
转载 导出表_eat_遍历_exe程序
#include <windows.h>#include <stdio.h>//列举导出表的函数,参数就是dll模块的地址BOOLEAN EunmEATTable(PVOID ulModuleBase){ //这里大家都知道是变量的声明 PIMAGE_DOS_HEADER pDosHeader; //dos头结构体 PIMAGE_NT_HEADERS Nt...
2017-05-27 11:35:04 706
转载 导出表_eat_遍历
#include <ntifs.h>#include <ntimage.h>#define SystemModuleInformation 11typedef unsigned char BYTE;typedef unsigned short WORD;typedef struct _SYSTEM_MODULE_INFORMATION // 系统模块信息{...
2017-05-27 10:26:24 525
转载 Windows7+WDK+VS2010+VisualDDK驱动开发环境搭建
原文链接:http://www.cppblog.com/guojingjia2006/archive/2011/03/19/142211.htmlWINDOWS 7 配置驱动开发环境(wdk7.60)1. 安装VS2010,WDK7.60(GRMWDK_EN_7600_1)2. 新建VC 控制台项目(选择为空项目)3. 新建项目配置“dri
2017-05-26 13:59:04 575
转载 遍历 shadowssdt表 函数名地址
#include <ntifs.h>#include <ntimage.h>//#include "ntddk.h" //SSDT结构体 typedef struct _SERVICE_DESCRIPTOR_TABLE { PULONG ServiceTable; PULONG CounterTable; ULONG TableSize;...
2017-05-23 06:44:18 1929
转载 028_实战EXE和SYS通信-28课(缓冲模式)_sys_驱动源码
#include"ntddk.h" #define add_code CTL_CODE(FILE_DEVICE_UNKNOWN, 0x800, METHOD_BUFFERED,FILE_ANY_ACCESS)#define sub_code CTL_CODE(FILE_DEVICE_UNKNOWN, 0x801, METHOD_BUFFERED,FILE_ANY_ACCESS)v...
2017-05-22 18:31:32 578
转载 028_实战EXE和SYS通信-28课(缓冲模式)_exe_控制台
// 028_实战EXE和SYS通信-28课(缓冲模式).cpp : 定义控制台应用程序的入口点。#include "stdafx.h"#include <windows.h>#include<winioctl.h> //CTL_CODE#define add_code CTL_CODE(FILE_DEVICE_UNKNOWN, 0x800, METHOD_B...
2017-05-22 17:42:20 387
转载 第二十五课_对象类型的几个回调函数介绍
#include"ntddk.h" typedef enum _OB_OPEN_REASON { ObCreateHandle, ObOpenHandle, ObDuplicateHandle, ObInheritHandle, ObMaxOpenReason} OB_OPEN_REASON;typedef NTSTATUS(*OB_OPEN_METHOD)( IN ULON
2017-05-19 11:17:13 456
转载 第二十四课_遍历windows对象目录
#include "ntddk.h"#define MAX_TABLE 37#define MAX_OBJECT_COUNT 0x10000typedef ULONG DEVICE_MAP;typedef ULONG EX_PUSH_LOCK;typedef struct _OBJECT_DIRECTORY_ENTRY{
2017-05-18 01:34:34 1751
转载 shadowssdt 地址 数量 遍历
#include "ntddk.h" //SSDT结构体typedef struct ServiceDescriptorTable { unsigned int *ServiceTableBase; unsigned int *ServiceCounterTable; unsigned int NumberOfServices; unsigned int *ParamTable...
2017-05-15 21:14:16 620
转载 第二十三课 认识内核对象_遍历内核对象_名字_地址
#include "ntddk.h" VOID MyUnload(PDRIVER_OBJECT pDriverObject){ KdPrint(("驱动卸载成功\n"));}NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject, PUNICODE_STRING Reg_Path){ UNICODE_STRING mingzi;
2017-05-15 20:10:53 751
转载 idt hook 原版
#include "ntddk.h"#define WORD USHORT#define DWORD ULONG#define MAKELONG(a, b) ((LONG)(((WORD)(((DWORD_PTR)(a)) & 0xffff)) \ | ((DWORD)((WORD)(((DWORD_PTR)(b)) & 0xffff))) << 16))typedef s
2017-05-14 23:36:23 433
转载 反idt hook 隐藏hook idt
#include "ntddk.h"#include "ntddk.h"#define WORD USHORT#define DWORD ULONG#define MAKELONG(a, b) ((LONG)(((WORD)(((DWORD_PTR)(a)) & 0xffff)) \ | ((DWORD)((WORD)(((DWORD_PTR)(b)) & 0xffff)
2017-05-14 22:57:14 1301
转载 ssdt_表_遍历
#include"ntddk.h" #pragma pack(1) //写这个内存以一字节对齐 如果不写是以4字节的对齐的 typedef struct ServiceDescriptorEntry {//这个结构就是为了管理这个数组而来的 内核api所在的数组 才有这个结构的 这个是ssdt unsigned int *ServiceTableBase;//就是ServiceTa...
2017-05-12 00:03:40 633
转载 简单实现了下SSDT SHADOW HOOK
介绍: SSDT SHADOW HOOK可用于安全软件窗口保护、安全输入、截屏保护等。例如:挂钩NtUserFindWindowEx、NtUserGetForegroundWindow、NtUserBuildHwndList、NtUserQueryWindow、NtUserWindowFromPoint、NtUserSetParent、NtUserPostMessage、NtUse...
2017-05-11 23:47:33 1125
原创 了解_idt_hook
#include "ntddk.h"#define WORD USHORT#define DWORD ULONG#define MAKELONG(a, b) ((LONG)(((WORD)(((DWORD_PTR)(a)) & 0xffff)) \ | ((DWORD)((WORD)(((DWORD_PTR)(b)) & 0xffff))) << ...
2017-05-11 13:34:33 326
转载 修改IDA pdb下载目录的方法(已实践)
编辑ida目录下cfg/pdb.cfg,把PDBSYM_DOWNLOAD_PATH指向你的符号安装目录,打开idb后选择 文件...载入文件...PDB文件找到IDA/CFG/PDB.CFG 编辑: 找到这里 PDBSYM_DOWNLOAD_PATH = "XX盘:\\symbols"; // Full symbol path (in _NT_SYMBOL_PATH fo
2017-05-11 08:22:43 5454
转载 遍历idt表_数组
#include "ntddk.h"#define WORD USHORT#define DWORD ULONG#define MAKELONG(a, b) ((LONG)(((WORD)(((DWORD_PTR)(a)) & 0xffff)) \ | ((DWORD)((WORD)(((DWORD_PTR)(b)) & 0xffff))) << 16))typedef str
2017-05-11 06:05:20 688
转载 在C语言中,double、long、unsigned、int、char类型数据所占字节数
和机器字长及编译器有关系:所以,int,long int,short int的宽度都可能随编译器而异。但有几条铁定的原则(ANSI/ISO制订的): 1 sizeof(short int)<=sizeof(int) 2 sizeof(int)<=sizeof(long int) 3 short int至少应为16位(2字节) 4 long int至少应为32位。 unsigned 是
2017-05-11 02:29:56 535
转载 019_读出原函数地址_恢复_ssdt_hook
#include"ntddk.h" #pragma pack(1) //写这个内存以一字节对齐 如果不写是以4字节的对齐的 typedef struct ServiceDescriptorEntry {//这个结构就是为了管理这个数组而来的 内核api所在的数组 才有这个结构的 这个是ssdt unsigned int *ServiceTableBase;//就是ServiceTa...
2017-05-09 20:37:22 419
转载 新手学ssdt_hook_ntopenprocess
#include "ntddk.h" #pragma pack(1)typedef struct ServiceDescriptorEntry { unsigned int *ServiceTableBase; unsigned int *ServiceCounterTableBase; unsigned int NumberOfServices; unsi...
2017-05-09 07:16:11 557
转载 inlinehook_ntopenprocess函数
#include"ntddk.h" #pragma pack(1) //写这个内存以一字节对齐 如果不写是以4字节的对齐的 typedef struct ServiceDescriptorEntry {//这个结构就是为了管理这个数组而来的 内核api所在的数组 才有这个结构的 这个是ssdt unsigned int *ServiceTableBase;//就是Servi...
2017-05-08 21:59:16 934
转载 016_为DDK_HelloWorld添加默认派遣例程
预计平均三天一课,录制过程中,大纲会实时更新(更改)主讲:郁金香灬老师 QQ150330575开发环境:VC6,VS2003,VS2008www.yjxsoft.netwww.yjxsoft.com教程购买地址:http://yjxsoft.taobao.com 1.3.8为DDK_HelloWorld添加默认派遣例程-16课 A、初识IRP ...
2017-05-06 23:01:24 424
转载 011_OpenProcess_进入内核_ssdt_过程_win32子系统
预计平均三天一课,录制过程中,大纲会实时更新(更改)主讲:郁金香灬老师 QQ150330575开发环境:VC6,VS2003,VS2008www.yjxsoft.netwww.yjxsoft.com教程购买地址:http://yjxsoft.taobao.com 1.3.3 用工具过驱动保护(确定学习方向) A、用户层至内核的隐秘通道 B...
2017-05-06 17:58:18 600
翻译 ExAllocatePool函数
如同C里面的malloc一样,内核模式下的ExAllocatePool也是非常重要的.但是一说到ExAllocatePool函数就不得不提ExAllocatePoolWithTag函数.对比一下两个函数的调用方式: PVOID p = ExAllocatePool(Pool_Type, Size); PVOID p = ExAllocatePoolWithTag(Pool_...
2017-05-05 06:24:22 691
转载 内核模式下的文件操作_zwcreatefile_zwopenfile_zwreadfile_zwwritefile
1.文件的创建对文件的创建或者打开都是通过内核函数ZwCreateFile实现的。和Windows API类似,这个内核函数返回一个文件句柄,文件的所有操作都是依靠这个句柄进行操作的。在文件操作完毕后,要关闭这个文件句柄。NTSTATUS ZwCreateFile( OUT PHANDLE FileHandle, IN ACCESS_MASK DesiredAc...
2017-05-05 06:22:31 2355
转载 IoCreateDevice
调用IoCreateDevice函数创建设备对象,例如:PDEVICE_OBJECT fdo;NTSTATUS status = IoCreateDevice(DriverObject, sizeof(DEVICE_EXTENSION), NULL, FILE_DEVICE_UNKNOWN, FILE_DEVICE_SECURE_OPEN, ...
2017-05-02 06:13:40 1445
Visual C++编程与项目开发
2017-06-25
MFCWindows程序设计
2017-06-24
Windows驱动开发技术详解
2017-06-19
Windows设备驱动程序WDF开发及源码
2017-06-19
寒江独钓——Windows内核安全编程(随书光盘)源码
2017-06-09
《Windows内核原理与实现》书内工具
2018-10-03
汇编语言_基于x86处理器第7版_中文高清完整版PDF_带索引书签 2本
2018-08-02
SymbolTypeViewer_1_0_0_6最新版
2018-07-25
SymbolTypeViewer_符号连接
2017-10-29
MoonLight Engine 1365.4.0.34 ML Engine (CE修改版)
2017-08-01
WDF驱动加载卸载工具
2017-07-12
WDM设备驱动程序开发(第2版)附书光盘
2017-07-10
WinPcap 4.1.3_最新可用版
2017-06-30
IRPTrace.rar 破解版_100%能用
2017-06-29
wdf驱动怎么安装?? 求助
2017-07-11
TA创建的收藏夹 TA关注的收藏夹
TA关注的人