- 博客(71)
- 资源 (4)
- 收藏
- 关注
RSS订阅原创 Win2008 R2 EPROCESS结构
lkd> dt _eprocessnt!_EPROCESS +0x000 Pcb : _KPROCESS +0x160 ProcessLock : _EX_PUSH_LOCK +0x168 CreateTime : _LARGE_INTEGER +0x170 ExitTime : _LARGE_IN
2014-10-20 13:11:44
1185
转载 Win7下运行VC程序UAC权限问题
转自:http://hi.baidu.com/empwwb/item/202d8c26bd4fbb889c63d1c4Win7下运行VC程序UAC权限问题在Win7运行VC程序往往受到UAC权限不够的问题,以下有几个方法获得管理员权限1、通过代码提升用户权限,代码如下:BOOL UpgradeProcessPrivilege(HANDLE hProcess, LPCTSTR l
2013-12-31 13:12:10
1308
原创 读取系统日志安全日志审核配置
1、使用API LsaQueryInformationPolicy,测试Win2003,2008,Win7都可以,应该和Windows版本无关。上代码:LSA_HANDLE CDlgSysInfo::GetPolicyHandle(){ LSA_OBJECT_ATTRIBUTES ObjectAttributes; // WCHAR SystemName[] = TAR
2013-12-12 11:01:49
4309
原创 tdifw tdi_event_receive_datagram 问题
tdi过滤在tdifw基础上改的,发现在Windows2008上 tdi_event_receive_datagram函数老是蓝屏,用windbg查看dmp信息,定位到:done: // cleanup if (ote_addr != NULL) KeReleaseSpinLock(&g_ot_hash_guard, irql);// i
2013-11-14 14:51:51
1774
原创 CreateProcessWithLogonW问题
在WIndows2003上使用CreateProcessWithLogonW创建进程总是得到错误码5,拒绝访问。查了n多资料都不行。最后发现原因是App路径携带中文名,改路径就ok了。坑爹的中文路径!
2013-11-11 14:46:50
1790
1
转载 TDI Filter 过滤驱动
By Fanxiushu 2013, 引用和转载请注明原作者为了让大家有兴趣阅读下去,举个正在使用的可能大家都比较熟悉的例子: 360 的安全卫士里,有个流量防火墙的功能,它可以监视每个进程的流量情况,可以限制上传下载速度,等等。他的驱动部分的就是一个 TDI Filter 驱动。TDI Filter ,这是个快被微软淘汰的驱动模式,但是为了兼容,又不得不使用的驱动。
2013-07-02 09:58:29
6393
转载 如何控制驱动加载顺序
转自:http://support.microsoft.com/kb/115486/zh-cn有两种方法可以用于控制设备驱动程序的加载顺序。这两种方法都利用了位于 \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control 的注册表项。第一种方法是修改 ServiceGroupOrder。第二种方法是根据 GroupOrderList 分配
2013-05-28 10:07:48
1558
转载 Statistical Formulas For Programmers
http://www.evanmiller.org/statistical-formulas-for-programmers.html#mean
2013-05-24 09:36:57
645
原创 DRIVER_CORRUPTED_EXPOOL (c5) 原因分析
Windbg信息如下:DRIVER_CORRUPTED_EXPOOL (c5)An attempt was made to access a pageable (or completely invalid) address at aninterrupt request level (IRQL) that is too high. This iscaused by dr
2013-04-26 09:27:20
15549
原创 一个驱动创建多个设备的问题
一个驱动可以创建多个设备,典型的例子就是楚狂人在TDI驱动教程中创建了TCP,UDP,ICMP的三个过滤设备。实际上为了能和应用层做IO管理,可能还需要创建一个控制设备,这个设备只负责接收应用层下发的策略。但我觉得这存在问题,特别是在驱动卸载的时候存在问题。如果驱动只对应一个设备,能保证DriverUnload调用时是独占的,即不存在同步问题。但当对应多个设备时,可能在驱动卸载的时候(
2013-04-21 22:17:57
2499
1
转载 以指定用户权限运行一个进程
转自http://blog.csdn.net/panpanloveruth/article/details/5728999//以指定用户权限运行一个进程BOOL CRunAsDlg::RunAsEx(LPWSTR lpCommandLine){ BOOL bRet = FALSE; HINSTANCE hInst;//advapi32.dll句柄
2013-04-19 22:39:16
1190
原创 FilemonRead 蓝屏错误分析
分析结果是FilemonRead这个函数里使用栈太大,如果多次陷入导致栈空间不够导致。mark给自己堆栈如下:kd> !analyze -v********************************************************************************
2013-01-30 11:18:54
1184
原创 W32内存溢出或者越界调试方法
使用 GFlags打开完全页堆块结构GFlags是windows debug tools 工具包下的一个工具,在Windows 2000的Resource Kit中也可以找得到。用来设置一些调试属性,总体上分为3个级别System, Kernel, 和 Image File。我们设置好Path环境变量,将其指向Debug tools工具的目录下。输入如下命令行:gflags -p
2013-01-25 16:16:24
1024
转载 Win2008打开远程桌面
正常的开启操作: 在桌面上右点"计算机"->"属性"->在打开的"系统"窗口里点击"远程设置",再切换到"远程"选项板中,将"远程协助"打上对钩,再将"远程桌面"里根据你的需要选择一项目,比方我选择的是"允许运行任意版本远程桌面的计算机连接"。确定就行了。
2012-12-12 09:43:25
530
转载 CMD命令下的netstat源码
#include "StdAfx.h"#include #include #include #include #include #pragma comment(lib, "Iphlpapi.lib")#pragma comment(lib, "WS2_32.lib")typedef struct{ DWORD dwState;
2012-10-30 17:32:38
2036
1
转载 windows7不支持AllocateAndGetTcpExTableFromStack
原文链接:http://blog.csdn.net/sysprogram/article/details/6019155今天发现iphlpapi.dll 在windows7下已经放弃支持AllocateAndGetTcpExTableFromStack,AllocateAndGetUdpExTableFromStack没用办法只能重新修改程序进行重新编译只能改用 GetExte
2012-10-30 17:19:25
730
原创 filemon hook IRP_MJ_READ 读用户名问题
在IRP_MJ_READ的处理函数filemonread中,调用了获得当前用户名方法:NTSTATUS GetUserName( char* a ){ NTSTATUS status = STATUS_SUCCESS; HANDLE TokenHandle; ULONG ReturnLength
2012-10-24 13:21:51
1437
转载 [Sfilter]在SfCreate()函数一开始得到文件名的方法(含长短名转换)
转自:http://bbs3.driverdevelop.com/read.php?tid-110833.html编译环境:ifs2003目标系统:windowsXP + sp2基本是按照楚狂人的教程来的,长短名转换确实挺麻烦,已通过测试。在驱网看了很多好文章,心底有很多谢意,也许这个东西能对别人有用。FYI://get the name with FILE_OBJ
2012-08-22 13:56:21
2164
转载 保证应用程序中私有对象安全的技术
转自:http://e555e5h.blogbus.com/logs/62786238.htmlKenny Kerr 软件顾问 适用范围: Microsoft® Windows® 安全授权 C++ 语言 摘要: 想了解扩展 Windows 操作系统丰富的安全功能以将其应用于自己的应用程序的方法吗?获取有关 Windows 安全
2012-07-17 19:31:34
794
转载 NDIS开发[网络驱动开发] NDIS开发(3)
转自:http://wuli5164233.blog.163.com/blog/static/460195442009125682094/NDIS开发[网络驱动开发] NDIS开发(3) 2009-02-25 18:08:20| 分类:VPN编程 |字号 订阅接 NDIS开发[网络驱动开发] NDIS开发(2)值名 值 描述 Para
2012-07-11 15:11:44
2266
转载 NDIS开发[网络驱动开发] NDIS开发(2)
转自:http://wuli5164233.blog.163.com/blog/static/460195442009125682591/NDIS开发[网络驱动开发] NDIS开发(2) 2009-02-25 18:08:25| 分类:VPN编程 |字号 订阅接 NDIS开发[网络驱动开发] NDIS开发(1) 3.4 在微端口驱动程序上实
2012-07-11 15:10:53
2181
转载 NDIS开发[网络驱动开发] NDIS开发1
转自:http://wuli5164233.blog.163.com/blog/static/46019544200912555843646/NDIS开发[网络驱动开发] NDIS开发(1) 2009-02-25 17:58:43| 分类:VPN编程|字号 订阅目 录1 NDIS中间层驱动程序 21.1 NDIS中间层驱动程序(NDIS Inte
2012-07-11 15:08:41
4312
转载 PSAPI学习笔记
转载自:http://bbs.pediy.com/showthread.php?threadid=15430关键字:PSAPI FunctionsEmptyWorkingSet***EnumDeviceDrivers**EnumPageFilesEnumProcesses*EnumProcessModules*GetDeviceDriverBaseName*
2012-05-07 21:08:12
1004
转载 Windows文件过滤驱动开发
http://hi.baidu.com/%B6%AC%D2%E2%BE%D3/blog/item/8e6aa0d1bd1043de562c8413.html由于项目需要,这十天做了个Windows文件过滤驱动, 感觉windows下的驱动也不是那么的神秘, Mirosoft可以说是把API做到了极致(尽管有时真的是没必要), 他们喜欢把API包装了又包装, 不让你看清楚底层的东西.
2012-04-23 15:21:46
948
转载 内存中取PE文件版本信息
http://hi.baidu.com/cppcoffee/blog/item/38b9c0d2aedc9bc2a044dfc1.htmlhttp://www.jc1234.com/p3/
2012-04-12 19:49:03
760
转载 DbgPrint/KdPrint输出格式控制
DbgPrint/KdPrint输出格式控制符号格式说明符类型%c, %lcANSI字符char%C, %wc宽字符wchar_t%d, %i十进制有符号整数int%D十进制__int64__int64%L十六进制的LARGE_INTEGERLARGE_INTEGER
2012-04-10 17:44:47
1112
转载 VC++菜单编程
VC++菜单编程原文来自:http://www.cppblog.com/andxie99/archive/2006/05/31/7977.aspx1.弹出菜单(Pop-up)是不能用来作命令响应的。2.MFC中菜单项消息如果利用ClassWizard来对菜单项消息分别在上述四个类中进行响应,则菜单消息传递顺序:View类--Doc
2012-04-05 23:14:06
579
转载 VC中使用ListCtrl和LVITEM 经验总结
此文转至:http://www.igoshow.net/BlogView.asp?logID=961 VC中使用ListCtrl和LVITEM 经验总结ListCtrl在工作中,常常用到,也常常看到大家发帖问怎么用这个控件,故总结了一下自己的使用经验,以供参考使用。先注明一下,这里,我们用m_listctrl来表示一个CListCtrl的类对象,然后这里我们
2012-03-19 14:58:04
597
转载 内核无HOOK文件防删除
内核无HOOK文件防删除,可以过冰刃,xuetr,easydelete 本来是打算写暴力删除文件的程序的,结果意外发现,只需要在内核发送irp打开一个文件,之后不关闭Object,就拒绝其他程序访问了,easydelete这个工具还是比较强的,不过也不能删除,关键是不挂钩任何函数,不修该系统内核,看属性的时候只能看到一个常规,其它的什么都看不到,当然了360(7.0)版本的
2012-03-07 13:33:54
2230
转载 挂钩shadow SSDT
原文:http://blog.csdn.net/gimbow/article/details/5882549挂钩shadow SSDT 文章核心内容:安全软件窗口保护、安全输入、截屏保护的一些思路。挂钩NtUserFindWindowEx、NtUserGetForegroundWindow、NtUserBuildHwndList、NtUserQueryWindo
2012-03-03 15:33:23
1930
1
转载 内核文件ntoskrnl.exe, ntkrnlpa.exe, ntkrnlmp.exe, ntkrpamp.exe到底有什么区别
简单来说,是同一套源代码根据编译选项的不同而编译出四个可执行文件,分别用于:ntoskrnl - 单处理器,不支持PAEntkrnlpa - 单处理器,支持PAEntkrnlmp - 多处理器,不支持PAEntkrpamp - 多处理器,支持PAE
2012-02-29 21:54:44
6052
2
转载 查看SSDTHOOK其修改
#define SYSTEMSERVICE(_function) KeServiceDescriptorTable.ServiceTableBase[ *(PULONG)((PUCHAR)_function+1)]typedef unsigned long DWORD;typedef unsigned long *PDWORD;typedef unsigned short WORD;
2012-02-29 18:44:50
1513
转载 使用WinDbg调试程序
使用WinDbg调试程序【转】什么是WinDBG?WinDbg是微软开发的免费源码级调试工具。Windbg可以用于Kernel模式调试和用户模式调试,还可以调试Dump文件。由于大部分程序员不需要做Kernel模式调试,我在这篇文章中不会介绍Kernel模式调试。Kernel模式调试对学习Windows核心极有帮助。如果你对此感兴趣,可以阅读Inside Windo
2012-02-29 18:07:03
485
转载 绕过文件系统过滤驱动和钩子
1对付文件系统过滤驱动文件系统过滤驱动Attach在正常的文件系统之上,监视和过滤我们的文件访问。文件系统驱动栈就是由这一连串的Attach起来的过滤驱动组成。我们可以用IoGetRelatedDeviceObject这个函数来获得一个FileObject对应的最底层的那个功能驱动对象(FDO)。但是这样虽然绕过了那些过滤驱动,却同时也绕过了正常的FSD如Ntfs/Fastfat,因为正常
2012-02-28 21:51:48
3627
1
原创 《Windows内核原理与实现》中定义的EPROCESS
《Windows内核原理与实现》中,定义的EPROCESS结构如下:(注,没改偏移地址,不能直接使用偏移地址)typedef struct _EPROCESS { KPROCESS Pcb; // +0x000 EX_PUSH_LOCK ProcessLock; //
2012-02-27 20:45:48
1179
转载 passthru安装
http://topic.csdn.net/u/20101110/10/88b018a6-3214-4d15-8708-bdf3f34ad708.html
2012-02-25 13:59:57
667
转载 C #define中的 "\,#,## #@"
2010-06-09 10:16在用#define 定义时 , 斜杠("\")是用来续行的,"#"用来把参数转换成字符串,是给参数加上双引号。"##"则用来连接前后两个参数,把它们变成一个字符串,"#@"是给参数加上单引号。下面的例子会使您很容易理解。#define CAT(x,y) x##y /* CAT(1,"abc") => "1abc" */#defin
2012-02-23 17:33:05
822
转载 网络防火墙开发二三事
网络防火墙开发二三事- haoxg -花了近一个月的时间研究 Windows 平台下的网络防火墙相关技术,并实现了一个简单的防火墙。在独自摸索的过程中,由于以往的开发经历从未涉及此领域,所以碰到了不少困难,也走了些弯路。现此项目暂告一段,遂将相关心得整理成文。文章以归纳总结为主,没有创新性技术,高手免看。◎ 防火墙的数据包拦截方式小结网络防火墙都是基于数据包的拦截技术之上的。在 W
2012-02-20 22:04:15
1624
1
Black.Hat.Python.Python.Programming.for.Hackers.pdf
2015-01-26
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人