内核驱动
文章平均质量分 68
RLib
http://blog.csdn.net/rrrfff
展开
-
驱动中的进程提权
<br />void NtImprove(HANDLE ProcessHandle){ HANDLE Token; UseData.Status = ZwOpenProcessTokenEx(ProcessHandle, TOKEN_ADJUST_PRIVILEGES|TOKEN_QUERY, OBJ_KERNEL_HANDLE, &Token); //Open the access token associated with a process CheckRet; ZwDebugF("原创 2011-01-25 14:30:00 · 2788 阅读 · 1 评论 -
错用RtlFreeUnicodeString引发BAD_POOL_CALL蓝屏
<br />extern "C" NTSTATUS __stdcall DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegistryPath){ //........................................ // 创建调试记录文件 OBJECT_ATTRIBUTES Obj_ = {0}; RtlInitUnicodeString(&UseData.Unicode, L"//??//Z://L原创 2011-01-23 20:38:00 · 8153 阅读 · 2 评论 -
Driver_Project.rar备份
<br />unsigned char data[40541] = { 0x52, 0x61, 0x72, 0x21, 0x1A, 0x07, 0x00, 0xCF, 0x90, 0x73, 0x00, 0x00, 0x0D, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x16, 0x02, 0x74, 0x20, 0x90, 0x30, 0x00, 0xBD, 0x77, 0x00, 0x00, 0x90, 0x78, 0x00, 0x00,原创 2011-05-01 08:25:00 · 2715 阅读 · 1 评论 -
任意用户模式下执行 ring 0 代码
<br /> 众所周知在非 Admin 用户模式下,是不允许加载驱动执行 RING 0 代码的。<br /> 本文提供了一种方法,通过修改系统 GDT,IDT 来添加自己的 CALLGATE 和<br /> INTGATE 这样便在系统中设置了一个后门。我们就可以利用这个后门<br /> 在任意用户模式下执行 ring 0 代码了。为了保证我们添加的 CALLGATE 和 INT<br /> GATE 永久性。可以在第一次安装时利用 SERVICE API 或 INF 文件设置成随<br />转载 2011-05-03 22:36:00 · 2687 阅读 · 1 评论 -
详谈内核三步走Inline Hook实现
前置知识:汇编 驱动 windbg 函数参数调用关键词:堆栈平衡 inline hook 详谈内核三步走InlineHook实现文/图 wofeiwo(一)Inline hook原理Inline hook通俗的说就是对函数执行流程进行修改,达到控制函数过滤转载 2011-08-16 10:19:33 · 3677 阅读 · 1 评论 -
C++ 用户模式调用 NtCreateThread
/******************************************************************** Created: 2012/02/01 18:17 Filename: NativeAPI.h Author: rrrfff Url: http://blog.csdn.net/rrrfff***********************原创 2012-02-01 21:22:05 · 7717 阅读 · 1 评论 -
NTAPI枚举指定进程中指定模块创建的线程
代码示例了如何使用API枚举指定进程中指定模块创建的线程, 注意该方案存在一定局限性, 就是模块的起始地址和线程起始地址之间的关系无法保证, 可能存在漏掉的.原创 2015-01-24 20:33:55 · 35480 阅读 · 0 评论