摘要:
原文发表于百度空间,2010-10-07 由于KeUserModeCallback的工作原理,对调用者线程和进程有以下要求: 1、调用者线程不能是纯内核线程(由PsCreateSystemThread创建的线程) 2、调用者线程必须在其所属进程中调用KeUserModeCallback 3、调用者进 阅读全文
摘要:
原文发表于百度空间及看雪论坛,2010-09-12 看雪论坛地址:https://bbs.pediy.com/thread-120296.htm Win7的内核新增了一系列带有Tag参数的对象增加引用(Refrence)/减少引用(Derefrence)函数,更易于找出对象使用中的“泄漏”(即Ref 阅读全文
摘要:
原文发表于百度空间,2010-09-07 本来只是打算以回复的形式回答一下m_sunv同学关于windbg搜索符号的问题,不料写得太多,超过了评论字数,索性就更详细一点单独写一篇文章来说明一下windbg查找符号文件的问题吧~ 以下所有说明以本人的符号目录设置为前提,我的符号目录设置是:_NT_SY 阅读全文
摘要:
原文发表于百度空间,2010-08-11 对Windows对象管理有一定了解的人都知道,在固定对象头(OBJECT_HEADER)前面是一块可变区域,称为可变对象头,它所包含的结构内容并不固定。在Win7之前,可变区域实际有哪些结构,通常是由OBJECT_HEADER中的几个偏移值指出。如下: 其中 阅读全文
摘要:
原文发表于百度空间,2010-08-09 在Windows系统的对象管理中,为了能够从对象头获取对象类型指针,在Win7以前的系统里直接在OBJECT_HEADER里保存了POBJECT_TYPE指针,而这一点在Win7系统里发生了改变。Win7中把所有的对象类型放在了一个表里,这个表叫做ObTyp 阅读全文
摘要:
原文发表于百度空间,2010-08-06 - NtGlobalFlagsFLG_STOP_ON_EXCEPTION 0x00000001FLG_SHOW_LDR_SNAPS 0x00000002FLG_DEBUG_INITIAL_COMMAND 0x00000004FLG_STOP_ON_HUNG_ 阅读全文
摘要:
原文发表于百度空间,2010-08-01 今天花了一点时间把Windows对象管理的变化看了一下,重点放在了Win7这个新的系统上。事实上,在对象管理这一部分上,从XP、2003几乎没有什么变化,到Vista以后,对象的管理依然没有太大变化,只是内核多导出了几个与对象操作有关的函数而已。而到了Win 阅读全文
摘要:
原文发表于百度空间,2010-04-05 这也许是我这个假期唯一做的跟Code有关的事了,已经一个多月没写代码了~~问题是这样的,某同学A,在自己的工程中使用了PsVoid的部分驱动源码(感谢炉子开源~~),提到里面的IrpCreateFile函数在Win7下始终会蓝屏,希望我能帮忙解决一下。于是, 阅读全文
摘要:
原文发表于百度空间,2010-02-22 某游戏的保护系统会检测一些ARK软件的存在,因为ARK的恢复HOOK等功能会对游戏的保护驱动造成一些影响。因此,在该游戏的驱动中内置了一些ARK驱动(也可能有其它类型驱动)的特征黑名单,用以检测这些驱动是否存在,若存在就会提示非法模块,要求重启后方可正常进行 阅读全文
摘要:
原文发表于百度空间及看雪论坛,2010-01-10 看雪论坛地址:https://bbs.pediy.com/thread-104918.htm 代码及附件可到这里下载 ring0调用ring3早已不是什么新鲜事,除了APC,我们知道还有KeUserModeCallback.其原型如下: 但是对于这 阅读全文
摘要:
原文发表于百度空间,2010-01-02 玩过Shadow SSDT Hook的都知道,在System进程中是无法访问win32k.sys的内存空间的,要想访问必须切换到csrss进程或者任意一个GUI进程。问题一:为什么System进程里无法访问win32k.sys呢?某同学的说法,"在Syste 阅读全文