- 博客(5)
- 资源 (9)
- 收藏
- 关注
原创 我对 HOOK 派遣例程函数表的体会。。。
关键点:调试函数得到的信息: kd> u nt!IofCallDrivernt!IofCallDriver:804ef120 ff2500d25480 jmp dword ptr [nt!pIofCallDriver (8054d200)]804ef126 cc int 3804ef127 cc int
2010-02-26 23:59:00 800
原创 浅谈 “我对 HOOKPE 的理解”
对于 HOOK 技术,我想大家都比较了解了,今天,搞了一个晚上的 HOOK PE, 希望能够达到勾住 到处函数的目的,技术不是什么新技术,仅仅为了了解它的工作过程而已。。。网上代码有现成的,不过,写得有些不对的地方。。。 1:在获取模块基址的时候,函数使用错了。。。 应该是这样,不然,你的程序就悲剧了,调试了老半天才发现, pName = strrchr( pSysModule-
2010-02-26 00:30:00 699
原创 浅谈 “驱动中的文件操作”
对于文件操作:我们的步骤应该是 1:---------------打开我们指定的文件(大部分是通过文件名的得到这个文件的操作句柄),可以使用 ZwOpenFile, ZwCreateFile....当然,创建只能用第二个。。。 这是一个打开已知文件的例子:NTSTATUS status; OBJECT_ATTRIBUTES oa; IO_STATUS_BLOCK i
2010-02-22 15:49:00 598
原创 浅谈 “内核的异常处理机制与应用”
对于 SEH 大家应该比较熟悉,但是当我们在写内核程序的时候,如何利用这种机制为我们的调试或者提高程序的健壮性作出自己的贡献呢? 现在,我想对我自己掌握的这方面的东西做一个总结: 首先,我想回顾一下我们的程序在出现异常的时候,操作系统到底做了什么事情吧。。。 当我们的程序出现异常的时候,操作系统,首先会是扫描一下一个异常处理的容器(堆栈回溯,查找处理方法),这个种结
2010-02-20 15:49:00 718
原创 WRK实验环境的配置
下学期我们开始了对操作系统的学习,所以今天,自己就开始搭建自己的操作系统实验环境,我还是采用的是 WRK 的源码进行学习首先,我是在 VM 上装上了 2003 ,因为那个源码不支持 XP, 所以。。。。 1.用虚拟机VMware安装一个windows server 2003系统(以下所指系统如未加说明均为该windows server 2003虚拟机)2.将WRK源码拷贝到系统下C盘,
2010-02-05 12:12:00 1180
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人