Windows内核
关注
分享
扫一扫
文章平均质量分 94
沭阳
欢迎大家一起交流进步,个人微信号:yxx85561498
展开
-
驱动对抗(一):ELAM驱动加载与驱动过滤
驱动对抗现状:问题:由于3环权限低,越来越多的病毒不屑于在3环搞事。在处理用户的一些病毒问题时,除了流氓软件,最多的还是rootkit这一类病毒(关于rootkit病毒的介绍,常见操作和危害不在此处讨论,以后笔者可以单独开一篇博文聊聊)。有些用户遇到3环问题还能自己想办法解决一下,通过修改劫持首页的注册表、快捷方式或者卸载恶意流氓软件等等就可以解决问题。但是,面对rootkit类病毒问题时,绝大多数的用户还是不知道或者不敢轻易去自己解决,一方面由于相关处理经验不足,另一个是怕出什么问题导致蓝屏或者系原创 2021-01-17 17:07:48 · 1961 阅读 · 0 评论 -
Windows简单驱动编程(三):SSDT HOOK
ssdt hook NtOpenProcesswin7 32环境,注释已标明一些解释#include <ntddk.h>#include <ntstatus.h>ULONG uOldNtOpenProcess;//定义system_service_table结构体typedef struct _KSYSTEM_SERVICE_TABLE{ PULO...原创 2019-12-09 22:35:16 · 630 阅读 · 0 评论 -
Windows简单驱动编程(二):内核中文件创建和写入
驱动中对文件的创建和写入,涉及对象的创建和初始化。有个坑:原以为下面这三行代码可以方便自己调试,能够自动区分调试状态和非调试状态,结果被坑了一下,如果直接加载驱动,会蓝屏。调试模式下不蓝。。所以,如果不调试的话得注掉。#if DBG: _asm int 3;#endif // DBG:驱动关于文件的简单创建和写入代码如下:#include <ntddk.h>...原创 2019-12-03 00:40:00 · 1256 阅读 · 1 评论 -
Windows简单驱动编程(一):内核中常见的字符串操作
开发环境:win10+vs2019+wdk10+vm_win7_x86本文内容:介绍内核中常见的字符串操作,字符串定义,字符串初始化,字符串复制,连接,比较。说明:环境部分大家自己装,网上教程很多,这里就不重复了。由于自己内核,驱动这方面知识缺乏,怕工作中偶尔碰见这样的病毒,绕不过的,只得学!大家加油!直接贴代码,注释我都标好了。#include <ntddk.h>#...原创 2019-12-02 01:10:57 · 781 阅读 · 1 评论