2010年10月13日
[note]chapter2--系统结构
摘要: 这一章讲述的比较宏观,没太多细节可以分析的.需要注意的几个地方.1.Windows子系统Csrss.exe包含对下列的支持:@ 控制台窗口@ 创建或删除进程和线程@ 对16位虚拟DOS机进程的一部分支持.关于Csrss.exe以后再详细剖析了.附上盟主的一篇文章<<详解进程创建中与csrss的通信流程>>Win32k.sys包含:@ 窗口管理器@ 图形设备接口关于Win32... 阅读全文
posted @ 2010-10-13 11:37 Tbit 阅读(234) 评论(0) 推荐(0) 编辑
说下最近的自己....
摘要: 最近精神状态一直都不是很好,学习上更是稀里糊涂,感觉缺乏激情了..呵呵,感觉自己身体也不好了...很多时候感觉自己学的有点人云亦云的味道.于是很多时候就缺乏了,对基础知识的巩固.其实很多东西,都只是在原来基础上稍微改变下的,只要底子好点,思路活点,技术不是问题.觉得自己应该收敛下心神.把精力好好的放在Windows内核上,追求内核学习的精益求精.尽管现在还只是初学而已.以前看过不少书,现在觉得过去... 阅读全文
posted @ 2010-10-13 10:27 Tbit 阅读(227) 评论(0) 推荐(0) 编辑
2010年10月8日
[ZZ]Windows磁盘驱动基础教程
摘要: 本文讲述Windows磁盘驱动的主要结构功能与编写方法基础。本文描述的内容仅限于软件层面,并不与具体的硬件相关。 1.磁盘驱动基础 不少人把文件系统驱动和磁盘驱动混为一谈。实际上文件系统驱动应该与磁盘驱动是两类不同的驱动程序。文件系统仅仅考虑数据在存储设备上的保存格式(而不考虑具体是什么存储设备),而磁盘是存储设备的一种。 在存储设备驱动(storage driver)中,与实际的硬件设备打交道的... 阅读全文
posted @ 2010-10-08 21:43 Tbit 阅读(532) 评论(0) 推荐(0) 编辑
2010年10月2日
[note]贴一些常用的串指令,方便查阅
摘要: MOVSLODSCLDCMPSSTOSREPSTDSCAS  MOVS ( MOVe String) 串传送指令MOVB //字节串传送 DF=0, SI = SI + 1 , DI = DI + 1 ;DF = 1 , SI = SI - 1 , DI = DI - 1MOVW //字串传送 DF=0, SI = SI + 2 , DI = DI + 2 ;DF = 1 , SI = SI - ... 阅读全文
posted @ 2010-10-02 00:01 Tbit 阅读(411) 评论(0) 推荐(0) 编辑
2010年10月1日
[note] 贴一段能实现文件隐藏的Minifilter
摘要: #include <fltKernel.h>#include <fltKernel.h>#include <dontuse.h>#include <suppress.h>#pragma prefast(disable:__WARNING_ENCODE_MEMBER_FUNCTION_POINTER, "Not valid for kernel mod... 阅读全文
posted @ 2010-10-01 01:32 Tbit 阅读(1124) 评论(1) 推荐(0) 编辑
2010年9月24日
[zz]wdk minifilter 自带示例的简要说明
摘要: 最近要用wdk 7 的minifilter做一个文件过滤的东西,苦于没有资料可用,明明知道 winDDK\src\filesys\minifilter的范例很有用,但就是无从下手,google了半天(SB google.cn刚换马夹变成了google.hk,速度叫个慢哟),最终还是抱上了msdn的大腿, 居然在MSDN library> win32 and com development &... 阅读全文
posted @ 2010-09-24 23:10 Tbit 阅读(2140) 评论(0) 推荐(0) 编辑
[note]Minifilter框架程序
摘要: Windows的fltMgr.sys提供了一个I/O过滤框架,它允许一种被称为文件系统微过滤驱动(MiniFilter)的dirver被加载到系统中.并向FltMgr注册它要过滤的哪些I/O操作.FltMgr是文件系统过滤管理器,它提供了一个管理框架,以方便开发人员编写文件驱动过滤程序(File System Filter Driver--FSFD).可过滤的I/O操作包括:基于IRP的I/O请求... 阅读全文
posted @ 2010-09-24 23:08 Tbit 阅读(3428) 评论(0) 推荐(0) 编辑
2010年9月20日
[note]Windows缓存管理机制分析(一)
摘要: 1.Windows的缓存管理器概述1.1 缓存管理器介于内存管理器(VMM)和文件系统驱动程序(FS)之间,它包含一组以"Cc"打头的内核模式函数,全局变量,以及一些系统线程.1.2 缓存管理器(CM)以虚拟块(Virtual Block)为基础来缓存数据, 这使得可以在不涉及文件系统驱动程序的情况下进行智能预读((Read_Ahead)和延迟(Lazy_Write)1.3 Windows缓存管理... 阅读全文
posted @ 2010-09-20 15:15 Tbit 阅读(1936) 评论(0) 推荐(0) 编辑
2010年9月18日
[note]枚举进程之二(句柄表分析篇)
摘要: 继续接着上篇,这一篇说下句柄表,关于handletable,其实也已经相当科普了~基础知识还是学习下吧.继续引用下V大的思路.3.通过pspCidTable获得进程表c4.通过handletablelisthead获得进程表d5.通过csrss的handletable用2种方法枚举获得进程表e和f6.通过扫描当前进程的handletable获得进程表g在解释如何通过这些思路枚举进程的时候,我们还是... 阅读全文
posted @ 2010-09-18 03:23 Tbit 阅读(1589) 评论(0) 推荐(0) 编辑
2010年9月16日
[note]枚举进程之一(基础科普篇)
摘要: 关于进程的枚举,以及查看进程信息,和查杀进程...等等..都是很古老的东西了,但是基础是改变不了的.首先看看关于进程的枚举吧,当前ark的驱动枚举进程,离不开V大的这个思路表(如下):killvxk的驱动查进程:1.native api获得进程表a2.通过activelist获得进程表b3.通过pspCidTable获得进程表c4.通过handletablelisthead获得进程表d5.通过cs... 阅读全文
posted @ 2010-09-16 22:36 Tbit 阅读(1309) 评论(0) 推荐(0) 编辑