ring0 - 随笔分类 - Lthis

【转】win32内核程序中进程的pid,handle,eprocess之间相互转换的方法

摘要：作者：落寒时间：2010-08-25 16:34:48链接：http://bbs.pediy.com/showthread.php?t=119193在win32内核程序开发中，我们常常需要取得某进程的pid或句柄，或者需要检索进程的eprocess结构，很多API函数需要的参数也不同，所以掌握... 阅读全文

posted @ 2015-09-07 14:37 Lthis 阅读(323) 评论(0) 推荐(0)

(ring0)Windows内核根据PID获取进程全路径

摘要：最近在写ARK，发现Windows在内核并没有直接提供这样的内核API，没办法，自己手动实现吧。网上搜了一堆，写了个函数头文件中定义typedef NTSTATUS(*ZWQUERYINFORMATIONPROCESS) (__in HANDLE ProcessHandle,__in PROCESS... 阅读全文

posted @ 2015-09-04 16:49 Lthis 阅读(2661) 评论(0) 推荐(0)

Windows虚拟地址转物理地址（原理+源码实现，附简单小工具）

摘要：ByLthis上个月就想写了，一直没时间...网上大概搜了一下，原理与操作倒是一大堆，一直没看到源码实现，总得有人动手，这回轮到我了。东西写得很烂，请大牛勿喷。一直觉得靠源码的方式驱动学习... 阅读全文

posted @ 2015-08-21 08:47 Lthis 阅读(4985) 评论(5) 推荐(2)

【code】ring0下的安全拷贝

摘要：ring0下的安全拷贝BOOLEAN SafeCopyMemory(PVOID pDestination, PVOID pSourceAddress, SIZE_T SizeOfCopy){ PMDL pMdl = NULL; PVOID pSafeAddress = NULL; ... 阅读全文

posted @ 2015-07-30 00:49 Lthis 阅读(274) 评论(0) 推荐(0)

联合体在WinDBG中的表现形式

摘要：结构体中的联合体typedef struct _HANDLE_TABLE_ENTRY{ union { PVOID Object; ULONG ObAttributes; PHANDLE_TABLE_ENTRY_INFO Info... 阅读全文

posted @ 2015-07-29 10:47 Lthis 阅读(245) 评论(0) 推荐(0)

【转】 “指定的服务已标记为删除”

摘要：原帖：windows服务卸载之后重新安装提示“指定的服务已标记为删除”个人解决办法一般是重启...当我在windows的cmd下卸载evtsysevtsys -u 再次安装时evtsys.exe -i -h 192.168.32.12 -p 514提示“指定的服务已标记为删除”，进入服务管理界面 E... 阅读全文

posted @ 2015-07-22 21:19 Lthis 阅读(462) 评论(0) 推荐(0)

【转】关于SSDT HOOK取消内存写保护的问题

摘要：原帖关于SSDT HOOK取消内存写保护的问题有些人说不去掉也不会蓝屏，照样能HOOK成功确实，我当时也是这样过。。。不过拿给别人机器一测试就蓝了网上找到了MJ给出的答案：当使用大页面映射内核文件时，代码段和数据段在一块儿，所以页必须是可写的，这种情况下直接改是没有问题的HKEY_LOCAL_MAC... 阅读全文

posted @ 2015-07-17 11:07 Lthis 阅读(535) 评论(0) 推荐(0)

【转】内核安全字符函数

摘要：原帖驱动开发中使用安全字符串函数一、前言大量的系统安全问题是由于薄弱的缓冲处理以及由此产生的缓冲区溢出造成的，而薄弱的缓冲区处理常常与字符串操作相关。c/c++语言运行库提供的标准字符串操作函数（strcpy, strcat, sprintf等）不能阻止在超出字符串尾端的写入。基于Windows X... 阅读全文

posted @ 2015-07-17 08:27 Lthis 阅读(296) 评论(0) 推荐(0)

【转】Windows内核下操作字符串!

摘要：* Windows内核下操作字符串!*/#include #include #define BUFFER_SIZE 1024VOID DriverUnload(IN PDRIVER_OBJECT pDriverObject){ KdPrint(("DriverUnload Load...\n... 阅读全文

posted @ 2015-07-16 22:30 Lthis 阅读(444) 评论(0) 推荐(0)

【转】阴沟里翻船之KeSetEvent

摘要：原帖：阴沟里翻船之KeSetEventKeSetEvent是个使用频率很高的内核支持函数，但经常使用未必意味着确实了解它。上周就曾遇到一件怪事，系统线程在调用KeSetEvent后线程IRQL竟然从PASSIVE_LEVEL提升至DISPATCH_LEVEL，以至后续的操作出错：Bug Check ... 阅读全文

posted @ 2015-07-16 09:29 Lthis 阅读(1787) 评论(1) 推荐(0)

【转】[内核/驱动]驱动中获取进程全路径和注册表全路径

摘要：转载地址:http://blog.sina.com.cn/s/blog_60a1a51d0100e78g.html2008.07.05 经过这几天的努力，注册表保护驱动已经基本稳定。很多人都在网上问如何获取访问注册表的进程全路径和被访问的注册表的全路径，下面就将部分代码贴出来。//驱动中获取... 阅读全文

posted @ 2015-05-09 23:22 Lthis 阅读(1252) 评论(0) 推荐(0)

加载NT驱动的类 C++

摘要：头文件#pragma once#include #include #include class CLoadNtDriver{public: CLoadNtDriver(); ~CLoadNtDriver(); BOOL pathIsFile(CString strPath); ... 阅读全文

posted @ 2015-03-23 21:35 Lthis 阅读(657) 评论(0) 推荐(0)

【转】枚举系统句柄

摘要：标题: 【原创】枚举系统句柄作者: nightxie 时间: 2008-10-17,15:33:10 链接: http://bbs.pediy.com/showthread.php?t=74824 之前我在这儿问了关于这个驱动的问题。感谢sudami的回复。。。问题解决了，这里把我的代码贴出... 阅读全文

posted @ 2015-01-07 09:58 Lthis 阅读(486) 评论(0) 推荐(0)

【转】ZwQuerySystemInformation的分析（加载模块）

摘要：原帖地址：http://www.mouseos.com/windows/kernel/ZwQuerySystemInformation.html内核模块可以使有 ZwQuerySystemInformation() 函数来获取已加载模块的信息，这个 routine 的原型定义为：NTSYSAPINT... 阅读全文

posted @ 2015-01-05 10:46 Lthis 阅读(1787) 评论(0) 推荐(0)

Lthis

随笔分类 - ring0

公告