- 博客(6)
- 收藏
- 关注
RSS订阅原创 使用NDIS Filter 6丢包
近日,在零信任场景中,windows侧大多使用tdi/wfp,虚拟网卡做流量的重定向。但是做阻断差了点意思,近日发现有软件可以绕过tdi,wfp的管控。绕过tdi是正常的,目前高版本系统中很少程序都不走tdi回调,比如一些系统服务,比如wsl2.0中HyperV网卡发包等。wfp呢,在ALE相关层,也是拦截不到wsl相关发包,一些从内核发包的行为也是拦截不到的。一.目前git有些可用的仓库,但是有兼容性问题,比如跟winpcap在一起会蓝屏。二.本文使用 标准方式获取IP分组,提取IP头,拒绝蓝屏。
2025-04-25 23:27:53
180
原创 不使用user-mode dump heap (UMDH) 定位内存泄漏-Windbg直接到精通
搜索国内网站,凡是涉及到内存泄漏的,基本都是介绍UMDH的使用,我们不否认UMDH的强大。只是,面对千篇一律的,你是否会凌乱?
2024-08-26 00:33:41
1154
原创 Windbg实用命令
元命令:常见的.sympath, 如.sysmpath +C:\pdb表示增加符号目录C:\pdb,.datch 附加调试器后,分离出来,让进程继续执行。sym noisy 符号加载混杂模式,开启后,再次使用.reload加载pdb的时候,可以看到调试器具体去什么路径加载pdb,如果发现路径不存在,我们可以手动创建目录,再次.reload。红色部分为线程号,我们可以切换到具体的线程,比如切换到15号线程,~15s,切换到14号线程 ~14s。输入该命令,可以打开Windbg的帮助命令,如图。
2024-07-06 18:08:58
644
原创 WFP 驱动翻译第一章-关于Windows网络流量处理平台
WFP过滤驱动的学习。MSDN的翻译比较生硬,其他的博客可能又没有形成体系,所以,我来了。
2023-10-26 00:14:44
1245
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人