- 博客(12)
- 资源 (4)
- 收藏
- 关注
转载 内核文件ntoskrnl.exe, ntkrnlpa.exe, ntkrnlmp.exe, ntkrpamp.exe到底有什么区别
简单来说,是同一套源代码根据编译选项的不同而编译出四个可执行文件,分别用于:ntoskrnl - 单处理器,不支持PAEntkrnlpa - 单处理器,支持PAEntkrnlmp - 多处理器,不支持PAEntkrpamp - 多处理器,支持PAE
2012-02-29 21:54:44 6079 2
转载 查看SSDTHOOK其修改
#define SYSTEMSERVICE(_function) KeServiceDescriptorTable.ServiceTableBase[ *(PULONG)((PUCHAR)_function+1)]typedef unsigned long DWORD;typedef unsigned long *PDWORD;typedef unsigned short WORD;
2012-02-29 18:44:50 1523
转载 使用WinDbg调试程序
使用WinDbg调试程序【转】什么是WinDBG?WinDbg是微软开发的免费源码级调试工具。Windbg可以用于Kernel模式调试和用户模式调试,还可以调试Dump文件。由于大部分程序员不需要做Kernel模式调试,我在这篇文章中不会介绍Kernel模式调试。Kernel模式调试对学习Windows核心极有帮助。如果你对此感兴趣,可以阅读Inside Windo
2012-02-29 18:07:03 493
转载 绕过文件系统过滤驱动和钩子
1对付文件系统过滤驱动文件系统过滤驱动Attach在正常的文件系统之上,监视和过滤我们的文件访问。文件系统驱动栈就是由这一连串的Attach起来的过滤驱动组成。我们可以用IoGetRelatedDeviceObject这个函数来获得一个FileObject对应的最底层的那个功能驱动对象(FDO)。但是这样虽然绕过了那些过滤驱动,却同时也绕过了正常的FSD如Ntfs/Fastfat,因为正常
2012-02-28 21:51:48 3643 1
原创 《Windows内核原理与实现》中定义的EPROCESS
《Windows内核原理与实现》中,定义的EPROCESS结构如下:(注,没改偏移地址,不能直接使用偏移地址)typedef struct _EPROCESS { KPROCESS Pcb; // +0x000 EX_PUSH_LOCK ProcessLock; //
2012-02-27 20:45:48 1194
转载 passthru安装
http://topic.csdn.net/u/20101110/10/88b018a6-3214-4d15-8708-bdf3f34ad708.html
2012-02-25 13:59:57 692
转载 C #define中的 "\,#,## #@"
2010-06-09 10:16在用#define 定义时 , 斜杠("\")是用来续行的,"#"用来把参数转换成字符串,是给参数加上双引号。"##"则用来连接前后两个参数,把它们变成一个字符串,"#@"是给参数加上单引号。下面的例子会使您很容易理解。#define CAT(x,y) x##y /* CAT(1,"abc") => "1abc" */#defin
2012-02-23 17:33:05 842
转载 网络防火墙开发二三事
网络防火墙开发二三事- haoxg -花了近一个月的时间研究 Windows 平台下的网络防火墙相关技术,并实现了一个简单的防火墙。在独自摸索的过程中,由于以往的开发经历从未涉及此领域,所以碰到了不少困难,也走了些弯路。现此项目暂告一段,遂将相关心得整理成文。文章以归纳总结为主,没有创新性技术,高手免看。◎ 防火墙的数据包拦截方式小结网络防火墙都是基于数据包的拦截技术之上的。在 W
2012-02-20 22:04:15 1634 1
原创 Windows驱动获得当前进程全路径的方法
方法:通过ZwQueryInformationProcess函数查询ImageFileName支持的系统:XP以上操作系统具体方法如下:BOOL GetProcessPathNameByHandle(HANDLE ProcessHandle,char * path) { DWORD ret; ULONG
2012-02-20 14:59:12 3117
转载 各系统 EPROCESS 结构
2000操作系统nt!_EPROCESS +0x000 Pcb : _KPROCESS +0x06c ExitStatus : 259 +0x070 LockEvent : _KEVENT +0x080 LockCount : 1 +0x088 CreateTime : _LA
2012-02-18 22:25:58 4752
原创 zwCreateProcess获得目标进程名
参数KeyHandle 为SectionHandle。解决了文件名因为缓冲机制导致的修改文件名,但获得的文件名是老名的问题。有两种文件对象控制区域,DataSection 和 ImageSectionImageSection :文件映像,进程退出时没被释放,而被放到空闲内存区域,以被重用DataSection : 数据副本, 进程退出,被释放在获得文件对象方法中,
2012-02-13 17:11:08 3073
转载 本地目录的只读控制(禁止写、删除、新建))
正文: 0 准备工作: 由于是对文件、目录的拦截。首先要知道如何得到路径、文件名、盘符等等。否则 你没有办法去做判断。我使用IFS 中的sfilter修改。因此没有filemon那样有直接的 函数取得。 在驱动中取得盘符和路径是分开的。取得盘符使用RtlVolumeDeviceToDosName (file->DeviceObject,&dosname); 取得路径的方法是:
2012-02-07 11:12:12 2152
Black.Hat.Python.Python.Programming.for.Hackers.pdf
2015-01-26
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人