![](https://img-blog.csdnimg.cn/20201014180756738.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
驱动学习笔记
记录本人学习驱动过程中遇到的各种问题,欢迎大家讨论勘误
rep_Su
这个作者很懒,什么都没留下…
展开
-
二探win10 x64 SSDT(驱动学习笔记六)
二探win10 x64 SSDT0x0 C0000082的通解背景介绍寻找SSDT代码实现0x0 C0000082的通解背景介绍在上一篇学习笔记中,我们曾说过,在win10 x64 1809专业版上通过C0000082 MSR寄存器,我所得到的地址并非是nt!KiSystemCall64,而是nt!KiSystemCall64Shadow。因此,我的权宜之计是读取地址后取一个偏移量将开...原创 2019-10-13 13:23:54 · 3009 阅读 · 5 评论 -
DDK_HelloWorld卸载例程细化(驱动学习笔记四)
DDK_HelloWorld卸载例程细化0x0 蓝屏0x1 头文件、cpp文件0x2 PDEVICE_EXTENSION0x0 蓝屏在编译DDK卸载程序时,误将符号名字写成了设备名,从而导致卸载时直接蓝屏在加载驱动的时候发生蓝屏,使用windbg定位到问题点如下:pDevobj正常,但是提示pDevExt为空指针从而导致蓝屏,想了想觉得很奇怪,难道是PDEVICE_EXTENSION...原创 2019-10-11 22:12:58 · 256 阅读 · 0 评论 -
为DDK_HelloWorld添加设备例程(驱动学习笔记三)
为DDK_HelloWorld添加设备例程0x0 编译报错0x0 编译报错在编译DDK驱动时,我遇到了类似如下的报错:error -2: “Inf2Cat, signability test failed.” Double click to see the tool output.当时时间在凌晨,采用VS2017编译驱动,反复编译发现始终有这样的报错,百思不得其解,于是百度之发现如下说...原创 2019-10-11 22:12:18 · 304 阅读 · 0 评论 -
添加卸载驱动例程(驱动学习笔记二)
添加卸载驱动例程0x0 驱动卸载管理驱动工具使用代码问题0x0 驱动卸载管理驱动卸载驱动其实用简单的命令行就可以做到,或者使用cmd脚本即可,当然工具的便利性毋庸置疑,工具的选择也可以有很多(如 drivermonitor)。这里的重点是把驱动启用,停止,删除的命令行做下记录:驱动安装后启动:sc start mydriver停止:sc stop mydriver删除:sc dele...原创 2019-10-11 22:11:39 · 403 阅读 · 0 评论 -
初探win10 x64 SSDT(驱动学习笔记五)
初探win10 x64 SSDT0x0 windbg中查看SSDT背景介绍查看SSDT0x1 代码获取SSDT表中的函数获取SSDT的地址0x0 windbg中查看SSDT背景介绍学习驱动的过程中,由于涉及到SSDT HOOK相关的知识点,开始学习SSDT,关于SSDT的基本概念,这里省去,中文名是系统服务描述表,具体的理解可自行百度,由于是初步探讨,本篇只介绍方法。查看SSDTx64系...原创 2019-10-11 22:13:28 · 3378 阅读 · 1 评论 -
Hello Driver(驱动学习笔记一)
Hello Driver0X0 编译报错背景介绍原因探讨解决办法0X0 编译报错背景介绍由于没有找到win10上vs2017版本的vs ddk编译环境,因此直接在VS2017上尝试如下代码:#include <ntddk.h>int DriverEntry(PDRIVER_OBJECT A, PUNICODE_STRING b){ return 0;}结果编译的时...原创 2019-10-11 22:07:48 · 405 阅读 · 0 评论