Windows内核
随心动,随风行
这个作者很懒,什么都没留下…
展开
-
Pnp即插即用设备驱动 自动安装程序 C C++实现
环境准备:VMware Workstation 14 Prowin10Pro x64 虚拟机VS2019虚拟机中安装:VS远程调试程序 msvsmonx64dbgWindows驱动程序样本/devcon(源码)下载后,在VS中打开,报一大堆错误,是因为缺少msg.h文件,无需理会,直接 release x64编译会在生成目录生成msg.h文件,拷贝到代码目录,添加到头文件中,即可...原创 2019-11-26 13:56:46 · 2076 阅读 · 0 评论 -
文件过滤驱动之文件隐藏
先看结果:创建测试目录 C:\test 创建不同类型的文件管理员权限启动cmdsc start 启动 minifilter 驱动调用HideFile.exe 传入指令,操作类型 目录 文件类型(文件类型可以传 * 则隐藏目录下所有文件)右键刷新 test 目录管理员权限调用WinAPI FindFirstFile FindNextFile 遍历 C:\tes...原创 2019-11-07 19:24:26 · 1369 阅读 · 1 评论 -
KMDF驱动 手动安装与卸载
最近要实现一个虚拟游戏手柄驱动,在网上下载了ViGEm的源码进行修改,虚拟游戏手柄驱动源码https://github.com/ViGEm/ViGEmBus编译通过后 多种途径尝试安装,均失败windows大部分驱动安装方法都不一样,网上查了很久都是设备的增删,没有驱动的安装与删除我分享一下经过大量尝试,找到的安装与卸载的方式测试环境:主机:win10 1903测试机: win10 ...原创 2019-10-29 09:45:05 · 4674 阅读 · 1 评论 -
Minifilter通过inf文件安装
若安装未签名的驱动程序时:cmd管理员权限运行,执行以下命令开启测试模式:bcdedit /set testsigning on重启即可生效安装右键.inf文件,点击安装右键.inf文件安装,实质是,将.sys文件拷贝到C:\Windows\System32\drivers 目录下启动和停止启动和停止驱动,还需以管理权限启动cmd,执行以下命令:卸载删除驱动卸载与删除,手...原创 2019-10-15 16:37:57 · 1073 阅读 · 0 评论 -
Windows内核驱动Hook入门
文章目录Hook框架选择基于微软规范的框架微软规范以外的框架简单介绍一下InfinityHook获取内核中的函数地址内核中导出的函数内核未导出的函数获取 SSDT ShadowSSDT 地址获取系统服务号手动获取获取并判断系统版本代码自动获取获取GUI相关的函数地址,还需附加GUI进程获取进程 PEPROCESS获取函数地址替换被Hook的函数 的函数实现获取函数原型如果被Hook的函数是一个高频函数,如何准确定位到是自己的程序调用分析不同情况下的返回值类型,调用的 R3 API 如何进行处理这些返回值分原创 2020-07-16 16:15:28 · 8261 阅读 · 0 评论