驱动保护中的ObjectType_Callback探索

最近学习驱动保护,有点小小心德与大家分享下。 当前环境:VM中的win7 32 保护程序是某游戏的驱动保护。 具体现象是:在用PCHunter工具查看object钩子时发现如下的信息:   疑问点1:在HOOK列显示的是ObjectType_Callback,以前只听说过Objec...

2013-10-31 23:03:53

阅读数:7694

评论数:0

教你在64位Win7系统下使用ObRegisterCallbacks内核函数来实现进程保护

我平时工作很忙,也很少有空闲时间上看雪论坛。我在看雪论坛里面文章发表的很少,几只有几篇,我也很少回答别人的问题。我的很多朋友都这样问我问题:我整理了一下,无非就以下几种问题: (1)怎么样在64位的Windows7操作系统下实现进程保护?  (2)我在网络上搜索了很多天,我根本就找不到64位进...

2013-10-31 11:56:58

阅读数:7780

评论数:0

遍历系统的所有ObjectType和TypeIndex

Windows内部有很多的对象类型,比如PROCESS类型,THREAD类型,FILE类型,LPC PORT类型,DEVICE类型等等,我们可以使用sysinternal提供的winobj工具来查看(win7 x86 sp1) 在编程的过程中我们有时候需要用到类型的索引(TypeIndex),由...

2013-10-31 10:16:59

阅读数:1943

评论数:0

OBJECT_METHOD初窥

一、  背景:Windows NT 的对象机制 Windows NT系统将各种资源以对象的方式进行组织和管理。虽然Windows NT内核使用C语言和汇编语言编写的,本身并未使用到C++中的面向对象机制。但依然通过抽象化的对象概念来对各类资源进行管理。   对象分为对象头和对象体两部分...

2013-10-31 09:04:31

阅读数:2267

评论数:0

Win7 OBJECT_HEADER之TypeIndex解析

Windows系统的对象管理中,为了能够从对象头获取对象类型指针,在Win7以前的系统里直接在OBJECT_HEADER里保存了POBJECT_TYPE指针,而这一点在Win7系统里发生了改变。Win7中把所有的对象类型放在了一个表里,这个表叫做ObTypeIndexTable。这个表可以这么定义...

2013-10-30 15:00:53

阅读数:3275

评论数:0

Object Hook 简单介绍

其实这东西很多大牛多玩腻了的东西,看下论坛上比较少这类的,就来献献丑,科普一下 大牛们直接 可以飘过,这东西主要是自我复习一下OBJECT的一些知识,技术这东西久了不弄容易忘记,所以 拿出来跟和我一样菜的菜鸟们分享一下。如果有不对的地方欢迎大家指正,这样对于自己也进步得 快点,多多交流,互相学习,...

2013-10-30 14:05:23

阅读数:3188

评论数:0

遍历创建进程、创建线程、加载模块的回调函数

大家都知道在内核环境下有三个函数分别可以设置Process, Thread, Image的相关通知函数,他们是PsSetCreateProcessNotifyRoutine,PsSetCreateThreadNotifyRoutine,PsSetLoadImageNotifyRoutine。在DD...

2013-10-28 21:24:27

阅读数:5324

评论数:0

系统回调介绍

目的:      遍历系统中的回调 类型:      与Xuetr遍历到的类型相同      如有雷同,还望见谅。。。有错误或者不恰当的地方请指正。      附件中代码大量冗余,可以将相同的部分写成一个函数,一开始没注意,懒得改了。。。 详细实现见代码 环境:      WIN XP SP...

2013-10-28 21:17:50

阅读数:4437

评论数:0

读书笔记之《Windows内核原理与实现》

最近学习《Windows内核原理与实现》发现起博大精深,粗略过了一遍,很多东西比较茫然,看书之余把书中涉及的函数,结构,全局变量的所在页数总结出来,便于以后查阅。 由于半自动半手工,难免有写错的地方,如有发现还请留言通知,谢谢。 函数 函数名称 所在页数 _KeSystemS...

2013-10-27 15:46:30

阅读数:4852

评论数:1

数组排序方法及C实现的总结

1、问题描述     数组排序(即按某种特定的顺序排列数据,如升序或降序)是最重要的计算应用之一,银行用帐号对所有的支票进行能够排序,并根据排序结果准备月底的财务报告,学校学生成绩管理系统用数组排序的方法将考试成绩从高到低进行排名,数组排序方法很多,有直接插入排序、冒泡排序、快速排序、直接选择排...

2013-10-19 16:35:55

阅读数:726

评论数:0

EXCEL2013保存时提示Be careful!Parts of your document may include personal information...

在EXCEL 2013中创建VBA宏后,保存时出现如下提示: 虽不影响保存结果,但是每次提示让人心烦,GOOGLE发现是因为有个检测功能造成的,关闭此功能路径如下: File->Options > Trust Center > Trust Center Settings ...

2013-10-19 15:05:36

阅读数:9945

评论数:0

EXCEL的扩展名xls与xlsm的区别

xls是2003版本下的文件 ,不管有没有宏程序的话都是xls文件 ,从2007开始做了区分,XLSM文件和XLSX文件都是excel2007及其以后的文件,但前者是含有宏启用,Excel中默认情况下不自动启用宏,默认是XLSX。VBA中,如果不想保存代码,可以保存为xlsx,即可自动删除其中VB...

2013-10-19 11:58:03

阅读数:18633

评论数:0

VS 的makefile工程

自从IDE的出现简化了代码文件之间关联性管理后,就没多少愿意用makefile管理工程的了。makefile的语法规则也不复杂,加上后续的automake让编写的东西又简化了不少,但是相比IDE点一下build的操作来说依然是没有可比性的。各个平台下的IDE对工程文件的规则都不一样,想要工程跨平台...

2013-10-09 19:32:14

阅读数:4836

评论数:0

Windows页目录自映射方案

在Windows的虚拟内存管理方案中,有一个设计值得特别一提,那就是Windows页目录自映射机制。Dave Probert很早在一份讲义中提到了这一机制(称为self-mapping page tables),并且给出了清楚的解释(http://i-web.i.u-tokyo.ac.jp/edu...

2013-10-08 10:02:07

阅读数:1651

评论数:0

如何将WinDBG中命令的输出保存到文本文件中

从本质上说, 这个功能是WinDBG的日志功能的一个应用而已. WinDBG的log功能可以记录你在WinDBG中使用的每一个命令以及其对应的输出. 那么如何开启WinDBG的日志功能呢? 首先, 可以选择从命令行中启动WinDBG. 举例, 使用下面的带有-logo参数的命令: ...

2013-10-03 12:13:30

阅读数:1068

评论数:0

如何写windbg高级脚本---以访问文件的windbg脚本为例说明

最近需要在访问指定文件时中断下来,但不知道如何下断,在网上搜索了一番无果,只好自己摸索了。听大侠说windbg的条件断点功能异常强大,可以实现,不禁心痒,特尝试一番,顺便熟悉一下windbg的脚本语法。 先来了解简单的,得到当前访问的文件名 先写段C代码,创建C:\a.txt并往文件中写任意几个...

2013-10-03 11:12:52

阅读数:1099

评论数:0

WinDbg 脚本实例,可以显示 SSDT

$$ ntcall Script v0.1 $$ by 小喂 2006.10.29 aS ufLinkS ""; aS ufLinkE ""; r $t1 = nt!KeServiceDescriptorTable; r $t2 = poi(@$t1 +...

2013-10-03 11:10:39

阅读数:990

评论数:0

debugger markup language帮助文档(DML)

Debugger Markup 从6.6.07版的调试器开始,为了增强和扩展调试器的数据输出,将使用新的机制:debuggermarkup language (DML)。DML象HTML那样允许在一定格式的标记中包含指令和不显示的信息。调试器的用户界面将能分析额外的信息并提供新的特性。   DML...

2013-10-03 10:47:41

阅读数:961

评论数:0

提示
确定要删除当前文章?
取消 删除
关闭
关闭