摘要:
Hook Api lib 0.4 for C原文及源代码地址链接《 [原创]Hook Api lib 0.4 for C 》 一、使用背景 最新在学习SSDT Inline Hook,一般在Hook开头进行一个JMP,例如Near Jmp,或者一个Far Jmp。 Near Jmp机器码为 E9 x 阅读全文
摘要:
一、脚本 X86环境 1 aS ufLinkS "<u><col fg=\\\"emphfg\\\"><link name=\\\"%p\\\" cmd=\\\"uf 0x%p\\\">"; 2 aS ufLinkE "</link></col></u>"; 3 4 r $t1 = nt!KeSer 阅读全文
摘要:
一、脚本 x86环境 1 aS ufLinkS "<u><col fg=\\\"emphfg\\\"><link name=\\\"%p\\\" cmd=\\\"uf 0x%p\\\">"; 2 aS ufLinkE "</link></col></u>"; 3 4 r $t1 = nt!KeSer 阅读全文
摘要:
前言 之前在《Windows驱动开发学习记录-驱动中快速重启关闭计算机之一》中使用Windows内核函数进行快速重启和关机,这次使用更快速直接的IO端口操作来进行。这里做个总结,分析可见参考资料1、2。 一、IO92h(重启) 1、Intel文档(Page445): 2、AMD文档(Page676) 阅读全文
摘要:
附更底层直接的方法链接: 《Windows驱动开发学习记录-驱动中快速重启关闭计算机之二》 引言 关于快速重启和关闭计算机,网上有不少软件在Ring3下调用ZwShutdownSystem (NtShutdownSystem)来实现,虽然速度很快,但还至少经历一些流程,比如向设备驱动发送停机通知等。 阅读全文
摘要:
附另两种方法链接 《Windows驱动开发学习记录-遍历内核已加载模块之一(使用DriverSection) 》 《Windows驱动开发学习记录-遍历内核已加载模块之二(使用ZwQuerySystemInformation) 》 1.主要区别 上面两个链接使用的方法中的函数或者结构体都为未文档化的 阅读全文
摘要:
附另两种方法链接: 《Windows驱动开发学习记录-遍历内核已加载模块之一(使用DriverSection)》 《Windows驱动开发学习记录-遍历内核已加载模块之三(使用 AuxKlib)》 1.原型 NTSTATUS ZwQuerySystemInformation( IN SYSTEM_I 阅读全文
摘要:
附另两种方法链接: 《Windows驱动开发学习记录-遍历内核已加载模块之二(使用ZwQuerySystemInformation)》 《Windows驱动开发学习记录-遍历内核已加载模块之三(使用 AuxKlib)》 1.关键结构体 _LDR_DATA_TABLE_ENTRY为所需要的结构体,具体 阅读全文
摘要:
1.背景 学习驱动期间打算做一个驱动,功能中需要在驱动启动成功后删除注册表中的服务项,关机时再自动添加到注册表启动项以便下次能自动加载驱动。一般情况注册表中项目如下,其中ImagePath为驱动的路径。 这个路径是在注册服务时写进入注册表里的, 在DriverEntry(PDRIVER_OBJECT 阅读全文