郁金香驱动笔记

最新推荐文章于 2019-07-19 17:52:50 发布
最新推荐文章于 2019-07-19 17:52:50 发布
阅读量773 收藏 1
点赞数
分类专栏: 驱动学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zcc1414/article/details/10117897
版权
配置好双机调试DriverEntry设置断点 __asm int 3;加载驱动 断下u 查看 汇编F8 步入F10 步过shift+F11 跳出函数 返回到上层callF5 运行bp 下CC断点 bp 模块名!函数名bl 显示断点bd 禁用断点bc 清除断点a 地址 之后 输入指令 之后回车WINGDBGSSDT的全称是System Services Desc
摘要由CSDN通过智能技术生成 

配置好双机调试  
DriverEntry设置断点 __asm int 3;  
加载驱动 断下  
u 查看 汇编  
F8  步入  
F10 步过  
shift+F11  跳出函数 返回到上层call  
F5 运行  
bp  下CC断点 bp 模块名!函数名  
bl 显示断点  
bd 禁用断点  
bc 清除断点  
a 地址  之后 输入指令 之后回车  
  
WINGDBG  
SSDT的全称是System Services Descriptor Table,系统服务描述符表 在ntoskrnl.exe导出KeServiceDescriptorTable 这个表  
dd poi[KeServiceDescriptorTable]+索引号*4 显示  
Kernel Detective v1.4.1工具 查看 索引号  
索引号 计算 :  
找到什么名称的函数  在WINDBG中 u zw函数 EG: u zwOpenFile  
看到mov eax,74h  
  
对指定源代码处下断:  
bp `123!main.cpp:23`  
  
最关键的一点,使用"`"而不是"'"   

typedef struct ServiceDescriptorTable {
   PVOID ServiceTableBase; //System Service Dispatch Table 的基地址
   PVOID ServiceCounterTable(0);
 //包含着 SSDT 中每个服务被调用次数的计数器。这个计数器一般由sysenter 更新。
   unsigned int NumberOfServices;//由 ServiceTableBase 描述的服务的数目。
   PVOID ParamTableBase; //包含每个系统服务参数字节数表的基地址-系统服务参数表
   }  
  用windbg 了解
最低0.47元/天 解锁文章
pandamac
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
郁金香vc++过驱动保护游戏外挂制作教程1-51课全套
tycomer的专栏
03-03 2852
<br />http://u.115.com/file/f1c9a5b70a   郁金香驱动01-20课.rar<br />http://u.115.com/file/f196bb3f8a   郁金香驱动21-33课.rar<br />http://u.115.com/file/f12cc82b61   郁金香驱动34-37课.rar<br />http://u.115.com/file/f95ba7345d   38课.rar   374M<br />http://u.115.com/file/f9b60
郁金香驱动班学习笔记
09-18
郁金香驱动班学习笔记郁金香驱动班学习笔记郁金香驱动班学习笔记
郁金香驱动教程\驱动学习笔记
07-30
郁金香驱动教程\驱动学习笔记 ..............\............\0前言.doc ..............\............\1.1.1 安装VC++6.0 -(1课).doc ..............\............\1.1.2 安装VS2003-VC++7.0 -(2课).doc ..............\............\1.1.3 安装VS2008-VC++9.0 -(3课).doc ..............\............\1.1.4 安装VC助手 -(4课).doc ..............\............\1.1.5 安装DDK -(5课).doc ..............\............\1.2.1 VC6环境编译驱动 -(6课).doc ..............\............\1.2.2 VS2003环境编译驱动 -(7课).doc ..............\............\1.2.3 VS2008环境编译驱动 -(8课).doc ..............\............\1.3.1编写一个名为DDK_HelloWorld简单的驱动 -(9课).doc ..............\............\1.3.2为DDK_HelloWorld添加卸载驱动例程 -(10课).doc ..............\............\1.3.3 用工具过驱动保护(确定学习方向) -(11课).doc ..............\............\1.3.4为DDK_HelloWorld添加设备例程 -(12课).doc ..............\............\1.3.5VM+windbg安装 -(13课).doc ..............\............\1.3.6实战用windbg调试自己驱动DDK_HelloWorld -(14课).doc ..............\............\1.3.7DDK_HelloWorld卸载例程细化 -(15课).doc ..............\............\1.3.8为DDK_HelloWorld添加默认派遣例程 -(16课).doc ..............\............\1.4.1需要具备的理论知识 -(17课).doc ..............\............\1.4.2读出SSDT表当前函数地址 -(18课).doc ..............\............\1.4.3读出原函数地址 -(19课).doc ..............\............\1.4.4向指定地址写入代码 -(20课).doc ..............\............\1.4.5绕过SSDT驱动保护 -(21课).doc ..............\............\1.6 NT式驱动的安装 -(22课).doc ..............\............\1.7 NT式驱动的卸载 -(23课).doc ..............\............\1.8 驱动代码中C和C++代码区别 -(24课).doc ..............\............\1.9、再谈VC环境配置 -(25课).doc ..............\............\2.1手动加载NT式驱动(非工具) -(26课).doc ..............\............\2.2.2、实战EXE和SYS通信 -(28课).doc ..............\............\2.2、应用程序与驱动交互访问(缓冲模式) -(27课).doc ..............\............\2.3、应用程序与驱动交互访问(直接模式) -(29课).doc ..............\............\2.4、应用程序与驱动交互访问(其它模式) -(30课).doc ..............\............\2.5、再谈SSDT HOOK驱动保护原理 -(31课).doc ..............\............\2.6、自写驱动保护XX进程(HOOK SSDT) -(32课).doc
郁金香驱动学习-第六课笔记
weixin_30851409的博客
07-19 108
编译驱动的时候记得要buildall也就是全部组建。。。 ———————————————————————————— 一、新建win32consoleApplication生成一个空项目文件 选Project菜单AddtoProject-----Files..选择所有驱动相关文件添加到工程 二、Tools-----Options------Di...
郁金香驱动工具包
05-13
DebugView DriverMonitor KernelDetective rkunhooker WinObj XueTr_
郁金香驱动学习-第十课笔记
weixin_30733003的博客
07-19 220
记住大小写还有标点符号。。。此外可以通过查看buildchk_wxp_x86.txt的内容来查看错误 ====================== //_stdcall--C编译方式入口函数相当于main()函数 //_cdcel---C++编译方式入口函数 //NEDDK.C已经包含了PDRIVER_OBJECT,PUNICODE_...
郁金香驱动编程里面用到的工具包
06-23
郁金香驱动编程是计算机技术领域中的一种高级技术,它涉及到操作系统内核级别的程序开发,主要用于创建设备驱动程序,优化系统性能或者实现某些特定功能。在这个过程中,有一些关键的工具包是必不可少的,它们帮助...
郁金香驱动教程1-51课免key
06-25
郁金香驱动教程1-51课免key郁金香驱动教程1-51课免key郁金香驱动教程1-51课免key郁金香驱动教程1-51课免key
郁金香vc过驱动保护
05-15
郁金香VC++过驱动保护是一种针对游戏保护的技术,它主要通过驱动级别的Hook技术来防止第三方工具对游戏进程的调试和篡改。这种保护机制在2008年的版本中得到了增强,涉及到对多个关键系统函数的Inline Hook,包括但...
郁金香游戏逆向-利用驱动保护自己的进程
07-05
郁金香逆向->C,C++,lua,汇编,逆向,驱动,加密解密
郁金香VC++初级、中级、进阶、高级+过驱动保护全套教程(已过期)
09-29
免key版,511U盘资源,速度很快!经测试全部可下 课程分四个大章节 初级篇,中级篇,进阶篇,高级篇 初级篇内容:编写一个完整的,简单的外挂 C++的数据类型:Byte,Word,DWORD,int,float API函数的调mouse_event,GetWindowRect,SetCursorPos,FindWindow,SendMessage) CE5.4工具的使用方法 中级篇内容:调试工具的使用技巧,功能CALL的概念 调试工具OD1.1的使用技巧(如硬件断点,条件断点,内存断点。 常用汇编指令与对应高级语言的转换。 游戏功能CALL概念 找第一个功能CALL 外挂框架的构建(通用) 进阶篇内容:分析游戏内部数据,分析常用功能CALL 游戏数据实践找各种功能CALL(如打怪,选怪,物品使用,技能栏之类)及相应的代码编写 高级篇内容:编写完整外挂 完成一个相对完整的外挂,实现 自动挂机,打怪,存放物品之类的功能 1 入门篇.以《QQ连连看为例》 1.1、一个最简单的外挂 1.1.1、游戏窗口数据分析(SPY++) a、取得窗口相对坐标 b、读出游戏窗口信息GetWindowRect c、移动鼠标指针SetCursorPos 1.1.2 用VC++写个最简单的外挂(实现游戏开局) a、鼠拟鼠标单击mouse_event b、鼠标指针移动还原 c、集成到startgame函数里 1.2、用CE查找棋盘数据 1.2.1、CE中的数据类型 a、数据类型:Bit,Byte,Word,Dword,float,double b、用CE查找出坐位号; c、保存分析数据 1.2.2、编程读出坐位号; a、远程读取进程数据 b、打开远程进程 c、读取远程进程数据 1.2.3、用CE查出棋盘基址; a、找棋盘数据基址 b、分析棋盘数据结构 1.2.4、读出当前棋盘数据 a、编程读出棋盘数据 b、棋盘数据显示出来 1.3、用模拟技术编制外挂 1.3.1 分析棋子与棋盘坐标关系 a、鼠标软件模拟,函数SendMessage b、分析窗口内棋子相对坐标X,Y c、软件模拟点击棋盘坐标x,y处的棋子 1.3.2 消掉一对棋子的算法框架 a、遍历棋盘同类型棋子配对 b、构建算法框架 1.3.3 (Check2p)大致框架(算法核心) a、在这一对棋子间找相通路径的原理 b、(Check2p函数)框架代码 c、(CheckLine函数)检测2点是否有连通. 1.3.4 CheckLine实现 a、CheckLine函数实现 b、Check2p核心代码架构 1.3.5 Check2p完整代码实现 1.3.6 编写完整外挂,界面美化 1.4、游戏加速.去掉对动画效果.非HOOK 1.4.1:用OD找出 动画延时代码 1.4.2:写代码去掉延时,实现游戏加速 2 中级篇 以热血江湖为例 2.1、分析前的准备..CALL简介: 2.1.1、CALL调用示例分析.
郁金香 驱动开发工具 包括了ddk(wdk)
10-12
提供115的高速下载地址. 有郁金香修改版od(包括了几十款实用插件),wdk,等驱动开发辅助工具
白色版郁金香OD自带驱动_3.5版本
10-31
白色版郁金香OD自带驱动_3.5版本,非常不错的版本
VC2008使用教程
04-12
VC2008使用教程
来自郁金香驱动编写教程的文章
weixin_30614587的博客
07-27 199
预计平均三天一课,录制过程中,大纲会实时更新(更改) 主讲:郁金香灬老师QQ150330575 开发环境:VC6,VS2003,VS2008 www.yjxsoft.net www.yjxsoft.com 教程购买地址:http://yjxsoft.taobao.com 1.2.3VS2008环境编译驱动-008 A、VC9驱动编译配置 B...
郁金香驱动编程学习>第一课:第一个驱动程序
ymxkybqw的博客
07-20 1364
//郁金香驱动保护学习 //qq 312154421,有共同兴趣爱好的同学,欢迎大家加我qq一起交流学习。 //时间 2015年7月20日 13:05:02 //编译步骤 //1.打开 windows 2000 Checked Build Environment //2.切换到你需要编译文件的盘符 比如我的在c盘 输入 C: //3.使用 cd 命令,在后面粘贴你的文件路径 比如:C:\Users
驱动学习笔记(一)
byteway的专栏
09-05 1107
首先要想学习好驱动就的了解很多关于驱动的事,因为驱动程序都是加载在windows 的内核模式下,他与windows系统的其他组件进行密切交互, 其实微软让windows尽可能的在不同的硬件平台上运行,增加可移植性,必须根据市场的需要相对容易的移植到新的体系结构上,下面是微软为了解决在 操作系统上出现的几大难题的具体办法,有句话叫“知己知彼、百战不殆”,呵呵 为了实现可移植性, 微软把w
郁金香驱动学习>第三课:添加设备对象
ymxkybqw的博客
07-20 545
#include //定义个INITCODE宏,这个宏表示 初始化的时候载入内存,然后可以从内存中卸载掉 #define INITCODE code_seg("INIT") //;注意这里是不能加分号的 #define PAGECODE code_seg("PAGE") //表示内存不够用时,可以置换到虚拟内存(硬盘) //驱动设备 #pragma INITCODE //表示这个函数运行后
郁金香python代码
最新发布
11-04
以下是实现郁金香芬芳的Python代码: ```python class Tulip: def __init__(self, color, fragrance): self.color = color self.fragrance = fragrance def smell(self): print("This tulip smells like " + ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值