内核模式匹配,正则匹配笔记

最新推荐文章于 2021-09-02 10:54:29 发布
最新推荐文章于 2021-09-02 10:54:29 发布
阅读量377 收藏 1
点赞数
分类专栏: 内核 驱动开发 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/youyou519/article/details/90676053
版权
windows 同时被 3 个专栏收录
105 篇文章 15 订阅
订阅专栏
内核
85 篇文章 6 订阅
订阅专栏
驱动开发
83 篇文章 10 订阅
订阅专栏

做正则匹配的原因,做关键路径的监控 ,提高系统性能,一般吧正则数据放到dat里然后加密起来,然后客户端启动读出来,下发到驱动,保存到驱动链表里面


BOOLEAN IsPatternMatch(PUNICODE_STRING Expression, PUNICODE_STRING Name, BOOLEAN IgnoreCase)//Expression 正则式  Name路径 

{

	return FsRtlIsNameInExpression(

    		Expression,

    		Name,

    		IgnoreCase,//如果这里设置为TRUE,那么Expression必须是大写的

    		NULL

    		); 

}

//L"C:\\WINDOWS\\SYSTEM32\\*\\*.SYS"

//L"c:\\Windows\\system32\\122222\\2.sys"

放行条件

内核模式

ExGetPreviousMode=KernelMode

Irp->RequestorMode=KernelMode

本进程

在DeviceloctrlFilter中记录PsGetCurrentProcessId()拿到本进程PID

系统进程

DriverEntry里PsGetCurrentProcessId()拿到系统进程PID

KeGetCurrentIrql()>APC_LEVEl(应用层的都不会大于这个IRQL)

白名单库里的,要考虑调用链

如何放行

hook监控就调用原函数

IRP调用IoSkipCurrentIrpStackLocation(IpIrp)

IoCallDriver()

 

 

 

kernweak
关注
专栏目录
[网络安全自学篇] 十四.Python攻防之基础常识、正则表达式、Web编程和套接字通信(一)
杨秀璋的专栏
09-29 2万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了Wireshark抓包原理知识,并结合NetworkMiner工具抓取了图像资源和用户名密码,本文将讲解Python网络攻防相关基础知识,包括正则表达式、Web编程和套接字通信。本文参考了爱春秋ADO老师的课程内容,这里也推荐大家观看他Bilibili和ichunqiu的课程,同时也结合了作者之前的经验进行讲解。
『大模型笔记』从基础原理出发提升深度学习性能
最新发布
AI新视界
05-28 276
如果你想加速你的深度学习系统,最重要的是要弄清楚模型的瓶颈在哪里。这个瓶颈决定了你加速系统的最佳方法。我经常看到研究人员和其他想要加速PyTorch代码的人在不了解具体情况的前提下盲目尝试。性能环境可能的解决方案Overhead-Bound(开销瓶颈)Tracing, Operator Fusion, 不使用Python, 真正的JIT编译器Operator Fusion(算子融合)使用Tensor Cores, 购买更多Nvidia硬件当然,可以说,用户需要考虑这些问题本身就反映了框架的不足。
linux 内核正则匹配,Linux之扩展正则表达式(egrep)
weixin_39545895的博客
05-03 272
egrep:支持扩展的正则表达式实现类似于grep文本过滤功能:grep -Egrep [OPTIONS] PATTERN [FILE...]grep [OPTIONS] [-e PATTERN | -f FILE] [FILE...]选项:--color=auto:对匹配到的文本着色后高亮显示:-i:ignorecase,忽略字符的大小写:-o:仅显示匹配到的字符串本身:-v, --invert...
linux内核 正则表达式,正则表达式库 PCRE 简述
weixin_39872257的博客
04-29 98
如果问c++的标准库里最缺乏的功能,正则表达式估计能排进前3,尤其在web开发领域,没有正则表达式实在令人太难受了,ruby,php人家都自带啊。成熟的c/c++正则库不多,首选应该是boost中的正则库,但也意味着你要引入boost这个庞然大物,对于追求微内核的程序而言,有点过重,甚至很多C++开发人员也比较抵触:)在boost之外,比较有名的就是PCRE了,pcre是c实现的,可以在这里下载。...
linux内核 正则表达式,linux学习日记九 正则表达式介绍
weixin_39728320的博客
04-29 135
正则表达式就是处理字符串的方法,它以行为单位来进行字符串的处理行为,正则表达式通过一些特殊符号的辅助,可以让用户轻易达到查找、删除、替换某特定字符串的处理程序。正则表达式基本上就是一种“表示法”,只要工具程序支持这种表示法,那么该工具程序就可以利用正则表达式处理字符串。例如vi,grep,awk,sed等。正则表达式和之前的bash通配符是两个完全不同的东西,两者毫无关系,这个要注意下。# gre...
《UnixShell实例精解》-学习笔记.doc
06-22
正则表达式是一种特殊的字符模式,用来在一次搜索中匹配相同字符。常见的正则表达式元字符包括: 1. ^ 行开头定位 2. $ 行末尾定位 3. . 匹配单个字符 4. * 跟前驱的0个或多个字 5. [] 与其中的一个相匹配 6. [x-z]...
RHCSA7-NOTE(红帽管理员-题库详细笔记
Reyn_观极
10-06 1159
重置练习环境: rht-vmctl reset classroom rht-vmctl reset server rht-vmctl reset desktop RHCSA 核心考点列表 #################################################### 一、开考准备 —— 1. 重设虚拟机的root密码 开机过程中修改启动参数,绕过密码验证,获得根分区控制权限 RHEL5/6:kernel 。。。。 single RHEL7:按e键,修改linu...
Linux零基础学习笔记 Shell编程-菜鸟入门(超详细)
11-24
8. **正则表达式**:在shell中,正则表达式是进行文本匹配和查找的强大工具。 9. **错误处理和调试**:学会如何处理脚本运行时的错误,以及如何调试脚本。 10. **权限与文件属性**:理解Linux的用户和组权限系统,...
linux 内核模块 正则表达式搜索,Python中正则表达式(re模块)的使用
weixin_31966615的博客
05-02 367
1、正则表达式的概述(1)概述:正则表达式是一些由字符和特殊符号组成的字符串,他们描述了模式的重复或者表示多个字符,正则表达式能按照某种模式匹配一系列有相似特征的字符串。正则表达式是一种小型的、高度的专业化的编程语言,(2)Python语言中的正则表达式内嵌在Python中通过re模块实现,正则表达式被编译成一系列的字节码,然后由C编写的匹配引擎执行2、字符匹配(1)符号匹配符号描述示例实例说明l...
内核文件路径正则匹配
zyorz的博客
04-19 448
使用函数FsRtllsNameInExpression即可实现第一个参数为正则式,类型是UnicodeString 第二个参数为字符串 第三个参数表示是否区分大小写,如果为T(不区分,此时正则式必须全大写) 第四个参数传NULL即可。匹配成功返回T?表示0或1个任意字符 *表示0到n个任意字符
linux内核的设备匹配方法
热门推荐
123
09-02 1万+
一、设备匹配方法 1.1、未使用设备树的设备匹配方法 在没有使用设备树以前, uboot 会向 Linux 内核传递一个叫做 machine id 的值, machine id也就是设备 ID,告诉 Linux 内核自己是个什么设备,看看 Linux 内核是否支持。 Linux 内核是支持很多设备的,针对每一个设备(板子), Linux内核都用MACHINE_START和MACHINE_END来定义一个 machine_desc 结构体来描述这个设备,比如在文件 arch/arm/mach-imx/mach
正则匹配所有文本以及在windows下的使用工具
mymy_blog的博客
03-12 1018
方式-:[\s\S]* 方式二:[\d\D]* 方式三:[\w\W]* 工具地址: http://www.regexlab.com/en/mtracer/ 使用挺不错的; 截图:
FsRtlIsNameInExpression不分大小写
死胖子的博客
03-24 1512
BOOLEAN FsRtlIsNameInExpression( _In_ PUNICODE_STRING Expression, _In_ PUNICODE_STRING Name, _In_ BOOLEAN IgnoreCase, _In_opt_ PWCH UpcaseTable ); Expression [i
FsRtlIsNameInExpression失败原因
死胖子的博客
03-04 1354
如果指定了第三个参数为TRUE,那么传入的第一个参数必须全部为大写。
内核模块字符相关处理
lygl35的博客
01-18 488
一、初始化字符串 : RtlInitUnicodeString(&deviceanme, DEVICE_NAME) #define DEVICE_NAME L"\\Device\\MyfirstDevice" //定义一个驱动的名字 UNICODE_STRING deviceanme = { 0 };//初始一个存储设备名字的内存空间 RtlInitUnicodeString(&deviceanme, DEVICE_NAME);//初始化一个字符串 DbgPrint("--:%wZ
驱动加载监控
kernweak的博客
05-31 1552
Hook_ZwLoadDriver和HOOK_ZwSetSystemInformation(xp) Hook_ZwLoadDriver( IN PUNICODE_STRING DriverServiceName )//服务名,在注册表 所以要在注册表改驱动ImagePath看驱动路径。 注意通过instrDrv加载驱动不一定看到的是原本加载驱动的文件,是通信方式加载驱动,在ZwLoadD...
一个隐式转换引起的问题
死胖子的博客
03-24 801
LARGE_INTEGER SystemTime; LARGE_INTEGER LocalTime; TIME_FIELDS timeFiled; NTSTATUS Status = STATUS_UNSUCCESSFUL; ULONG Value = 0; size_t StrLens = 0; ULONG rand_seed = 0; LONGLONG days_plus =
Unix Shell学习笔记:命令解析与正则表达式
"《Unix Shell 实例精解》学习笔记,涵盖了Unix Shell的定义、功能、主要shell命令,以及深入讲解了正则表达式及其元字符的使用。" Unix Shell是Unix操作系统中用户与内核交互的核心部分,它提供了一个命令行界面,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值