摘要:
花了一天时间,把原来百度空间里200多篇文章里的70篇重要文章(除去扯淡的)搬了出来。 希望这些资料对初学者能够有点用,以后有时间还是继续多写一些有用的内容出来。 阅读全文
摘要:
原文发表于百度空间,2014-09-24 好难找的资料,记录下。。。。 阅读全文
摘要:
原文发表于百度空间,2013-08-24 这几天需要把一个程序部署到Win7 64位系统上,本来在32位XP上运行非常正常,在Win7 64位下却各种内存访问错误,于是不得不面对64位系统上调试32位程序这个问题,不料平时使用的fly Ollydbg加载调试目标时各种异常啊,完全不好用,而windb 阅读全文
摘要:
原文发表于百度空间,2011-06-20 大致过程如下: LdrInitializeThunk //ring3线程第一次执行从这里开始 ->LdrpInitialize ->_LdrpInitialize ->LdrpInitializeProcess // 如果不是该进程第一次调用,这里会变成Ld 阅读全文
摘要:
原文发表于百度空间,2011-04-07 该函数与ring3的枚举窗口函数有关,原型如下: 要在驱动中调用此函数的童鞋们要注意下: (1)不能在System进程和smss进程中调用(比如DriverEntry啥的),Attach到别的进程也不行,原因与Session Space有关,否则你将会得到一 阅读全文
摘要:
原文发表于百度空间,2011-04-05 在分析ntfs的B+树时,不可避免地要进行文件名大小的比较,经过观察发现通常我们在资源管理器中看到的文件排序和ntfs中有很大不同。比如,有下面一些文件,在资源管理器中排序如下: 可以看到对汉字是按其汉语拼音排序的。而在ntfs的目录索引中排序如下:观察发现 阅读全文
摘要:
原文发表于百度空间,2011-03-24 看雪上别人问的一个问题,顺便在此记录下吧~~ 阅读全文
摘要:
原文发表于百度空间,2010-10-07 由于KeUserModeCallback的工作原理,对调用者线程和进程有以下要求: 1、调用者线程不能是纯内核线程(由PsCreateSystemThread创建的线程) 2、调用者线程必须在其所属进程中调用KeUserModeCallback 3、调用者进 阅读全文
摘要:
原文发表于百度空间及看雪论坛,2010-09-12 看雪论坛地址:https://bbs.pediy.com/thread-120296.htm Win7的内核新增了一系列带有Tag参数的对象增加引用(Refrence)/减少引用(Derefrence)函数,更易于找出对象使用中的“泄漏”(即Ref 阅读全文
摘要:
原文发表于百度空间,2010-09-07 本来只是打算以回复的形式回答一下m_sunv同学关于windbg搜索符号的问题,不料写得太多,超过了评论字数,索性就更详细一点单独写一篇文章来说明一下windbg查找符号文件的问题吧~ 以下所有说明以本人的符号目录设置为前提,我的符号目录设置是:_NT_SY 阅读全文
摘要:
原文发表于百度空间,2010-08-11 对Windows对象管理有一定了解的人都知道,在固定对象头(OBJECT_HEADER)前面是一块可变区域,称为可变对象头,它所包含的结构内容并不固定。在Win7之前,可变区域实际有哪些结构,通常是由OBJECT_HEADER中的几个偏移值指出。如下: 其中 阅读全文
摘要:
原文发表于百度空间,2010-08-09 在Windows系统的对象管理中,为了能够从对象头获取对象类型指针,在Win7以前的系统里直接在OBJECT_HEADER里保存了POBJECT_TYPE指针,而这一点在Win7系统里发生了改变。Win7中把所有的对象类型放在了一个表里,这个表叫做ObTyp 阅读全文
摘要:
原文发表于百度空间,2010-08-06 - NtGlobalFlagsFLG_STOP_ON_EXCEPTION 0x00000001FLG_SHOW_LDR_SNAPS 0x00000002FLG_DEBUG_INITIAL_COMMAND 0x00000004FLG_STOP_ON_HUNG_ 阅读全文
摘要:
原文发表于百度空间,2010-08-01 今天花了一点时间把Windows对象管理的变化看了一下,重点放在了Win7这个新的系统上。事实上,在对象管理这一部分上,从XP、2003几乎没有什么变化,到Vista以后,对象的管理依然没有太大变化,只是内核多导出了几个与对象操作有关的函数而已。而到了Win 阅读全文
摘要:
原文发表于百度空间,2010-04-05 这也许是我这个假期唯一做的跟Code有关的事了,已经一个多月没写代码了~~问题是这样的,某同学A,在自己的工程中使用了PsVoid的部分驱动源码(感谢炉子开源~~),提到里面的IrpCreateFile函数在Win7下始终会蓝屏,希望我能帮忙解决一下。于是, 阅读全文
摘要:
原文发表于百度空间,2010-02-22 某游戏的保护系统会检测一些ARK软件的存在,因为ARK的恢复HOOK等功能会对游戏的保护驱动造成一些影响。因此,在该游戏的驱动中内置了一些ARK驱动(也可能有其它类型驱动)的特征黑名单,用以检测这些驱动是否存在,若存在就会提示非法模块,要求重启后方可正常进行 阅读全文
摘要:
原文发表于百度空间及看雪论坛,2010-01-10 看雪论坛地址:https://bbs.pediy.com/thread-104918.htm 代码及附件可到这里下载 ring0调用ring3早已不是什么新鲜事,除了APC,我们知道还有KeUserModeCallback.其原型如下: 但是对于这 阅读全文
摘要:
原文发表于百度空间,2010-01-02 玩过Shadow SSDT Hook的都知道,在System进程中是无法访问win32k.sys的内存空间的,要想访问必须切换到csrss进程或者任意一个GUI进程。问题一:为什么System进程里无法访问win32k.sys呢?某同学的说法,"在Syste 阅读全文