- 博客(11)
- 资源 (18)
- 问答 (2)
- 收藏
- 关注
RSS订阅原创 windows内核编程 白话设备栈
在ntddk.h中定义了该函数原型: #if (NTDDI_VERSION >= NTDDI_WINXP) NTKERNELAPI NTSTATUS IoAttachDeviceToDeviceStackSafe( __in PDEVICE_OBJECT SourceDevice, __in PDEVICE_OBJECT TargetDevice,
2014-12-31 17:16:05
856
原创 sfliter__except_handler4
sfliter源码在vs08中编译 出现 错误error LNK2019: unresolved external symbol __except_handler4 referenced in function _SfEnumerateFileSystemVolumes@8解决方案project->property->C/C++->Code Generation->Buffer Security
2014-12-31 17:16:03
560
原创 MySQL5.5绿色版1067
mysql的绿色安装版,按照很多文章进行配置,会出现 配置文件里面添加了 [client] default-character-set=utf8 [mysqld] default-character-set=utf8basedir = D:/mysql5.5.39CS3/datadir = D:/MySQLData/data 每句话进行注释进行排错 定位在[mysqld]defau
2014-12-31 17:16:00
383
原创 白话DeviceIoControl
调用的方法之一的DeviceIoControl 驱动层提供设备名 例如filedisk 在驱动层 首先先是注册列表 用winObj查看 filedisk的驱动对象 但是 这八个对象时怎么生成的呢? 我们在加载filedisk.sys驱动时进行中断 查看过程 具体的双击调试 看我的另一篇文章 http://www.cnblogs.com/UnMovedMov
2014-12-31 17:15:58
536
原创 努力,从而最大化成功的概率
努力,从而最大化成功的概率,而不是某个确定的成果。 增大成果的概率,是我们付出时间的原因。 困难的路,越走越容易;容易的路,越走越困难...
2014-12-31 17:15:53
445
原创 #define DELAY_ONE_MICROSECOND (-10) 时间是负数的原因
以下摘自DOOM的博文《内核同步对象 》 http://blog.csdn.net/lqk1985/article/details/2541867 “最后一个参数&timeout是一个64位超时值的地址,单位为100纳秒。正数的超时表示一个从1601年1月1日起的绝对时间。调用KeQuerySystemTime函数可以获得当前系统时间。负数代表相对于当前时间的时间间隔。如
2014-12-31 17:15:49
1104
原创 ObReferenceObjectByName函数调用WIN7下的解决
《寒江独钓 Windows内核安全编程》第4章键盘的过滤ctrl2cap代码中,ObReferenceObjectByName函数调用: 【1】extern POBJECT_TYPE IoDriverObjectType; 【2】status = ObReferenceObjectByName ( &uniNt
2014-12-31 17:15:46
800
原创 win7(64)位下WinDbg64调试VMware10下的win7(32位)
win7(64)位下WinDbg64调试VMware10下的win7(32位) 一 Windbg32位还是64位的选择 参考文档《Windbg 32位版本和64位版本的选择 》 http://blog.csdn.net/ithzhang/article/details/13096113 “运行调试器的计算机我们成为调试主机,被调试的计算机我们称为目标机。” “如果你的调试主机运行的
2014-12-31 17:15:44
628
原创 QT快速使用ntohs
QT快速使用ntohs,需要注意3点:1. ntohs只是转换相邻的2个字节2. 引入头文件#include 3. 需要加上win32{LIBS+=-lws2_32}下面是一个简单的小例子: #include #include #include int main(int argc, char *argv[]) { QApplication a(argc, argv
2014-12-31 17:15:39
1989
原创 白话VPB(volume parameter block)
为什么要绑定FS的CDO设备? 楚狂人在《Windows文件系统过滤驱动开发教程(第二版)》中写道: “一个新的存储媒质被系统发现并在文件系统中生成一个Volume的过程称为Mounting.其过程开始的时候,FS的CDO将得到一个IRP,其Major Function Code为IRP_MJ_FILE_SYSTEM_CONTROL,Minor Function Code为IRP_MN_MOU
2014-12-31 13:54:34
1123
1
白话设备栈 windows内核
2014-12-31
如何用winhex在MFT表中添加记录被文件系统识别?
2015-05-26
TA创建的收藏夹 TA关注的收藏夹
TA关注的人