2018年12月27日
旧文章搬运完毕
摘要: 花了一天时间,把原来百度空间里200多篇文章里的70篇重要文章(除去扯淡的)搬了出来。 希望这些资料对初学者能够有点用,以后有时间还是继续多写一些有用的内容出来。 阅读全文
posted @ 2018-12-27 11:00 黑月教主 阅读(409) 评论(1) 推荐(0) 编辑
【旧文章搬运】VC插件中如何获取当前工程的工作目录
摘要: 原文发表于百度空间,2014-09-24 好难找的资料,记录下。。。。 阅读全文
posted @ 2018-12-27 10:57 黑月教主 阅读(219) 评论(0) 推荐(0) 编辑
【旧文章搬运】在64位系统上调试32位程序
摘要: 原文发表于百度空间,2013-08-24 这几天需要把一个程序部署到Win7 64位系统上,本来在32位XP上运行非常正常,在Win7 64位下却各种内存访问错误,于是不得不面对64位系统上调试32位程序这个问题,不料平时使用的fly Ollydbg加载调试目标时各种异常啊,完全不好用,而windb 阅读全文
posted @ 2018-12-27 10:56 黑月教主 阅读(723) 评论(0) 推荐(0) 编辑
【旧文章搬运】加载PE文件时IAT的填充时机
摘要: 原文发表于百度空间,2011-06-20 大致过程如下: LdrInitializeThunk //ring3线程第一次执行从这里开始 ->LdrpInitialize ->_LdrpInitialize ->LdrpInitializeProcess // 如果不是该进程第一次调用,这里会变成Ld 阅读全文
posted @ 2018-12-27 10:54 黑月教主 阅读(675) 评论(0) 推荐(0) 编辑
【旧文章搬运】关于NtUserBuildHwndList的一点记录~
摘要: 原文发表于百度空间,2011-04-07 该函数与ring3的枚举窗口函数有关,原型如下: 要在驱动中调用此函数的童鞋们要注意下: (1)不能在System进程和smss进程中调用(比如DriverEntry啥的),Attach到别的进程也不行,原因与Session Space有关,否则你将会得到一 阅读全文
posted @ 2018-12-27 10:51 黑月教主 阅读(1007) 评论(0) 推荐(0) 编辑
【旧文章搬运】ntfs中的文件名排序规则~
摘要: 原文发表于百度空间,2011-04-05 在分析ntfs的B+树时,不可避免地要进行文件名大小的比较,经过观察发现通常我们在资源管理器中看到的文件排序和ntfs中有很大不同。比如,有下面一些文件,在资源管理器中排序如下: 可以看到对汉字是按其汉语拼音排序的。而在ntfs的目录索引中排序如下:观察发现 阅读全文
posted @ 2018-12-27 10:49 黑月教主 阅读(540) 评论(0) 推荐(0) 编辑
【旧文章搬运】Windows中全局钩子DLL的加载过程
摘要: 原文发表于百度空间,2011-03-24 看雪上别人问的一个问题,顺便在此记录下吧~~ 阅读全文
posted @ 2018-12-27 10:41 黑月教主 阅读(519) 评论(0) 推荐(0) 编辑
【旧文章搬运】关于在指定进程调用KeUserModeCallback的问题
摘要: 原文发表于百度空间,2010-10-07 由于KeUserModeCallback的工作原理,对调用者线程和进程有以下要求: 1、调用者线程不能是纯内核线程(由PsCreateSystemThread创建的线程) 2、调用者线程必须在其所属进程中调用KeUserModeCallback 3、调用者进 阅读全文
posted @ 2018-12-27 10:38 黑月教主 阅读(335) 评论(0) 推荐(0) 编辑
【旧文章搬运】深入分析Win7的对象引用跟踪机制
摘要: 原文发表于百度空间及看雪论坛,2010-09-12 看雪论坛地址:https://bbs.pediy.com/thread-120296.htm Win7的内核新增了一系列带有Tag参数的对象增加引用(Refrence)/减少引用(Derefrence)函数,更易于找出对象使用中的“泄漏”(即Ref 阅读全文
posted @ 2018-12-27 10:35 黑月教主 阅读(703) 评论(0) 推荐(0) 编辑
【旧文章搬运】关于windbg搜索符号文件的一点说明
摘要: 原文发表于百度空间,2010-09-07 本来只是打算以回复的形式回答一下m_sunv同学关于windbg搜索符号的问题,不料写得太多,超过了评论字数,索性就更详细一点单独写一篇文章来说明一下windbg查找符号文件的问题吧~ 以下所有说明以本人的符号目录设置为前提,我的符号目录设置是:_NT_SY 阅读全文
posted @ 2018-12-27 10:26 黑月教主 阅读(574) 评论(0) 推荐(0) 编辑
【旧文章搬运】Win7可变对象头结构之InfoMask解析
摘要: 原文发表于百度空间,2010-08-11 对Windows对象管理有一定了解的人都知道,在固定对象头(OBJECT_HEADER)前面是一块可变区域,称为可变对象头,它所包含的结构内容并不固定。在Win7之前,可变区域实际有哪些结构,通常是由OBJECT_HEADER中的几个偏移值指出。如下: 其中 阅读全文
posted @ 2018-12-27 10:25 黑月教主 阅读(729) 评论(0) 推荐(0) 编辑
【旧文章搬运】Win7 OBJECT_HEADER之TypeIndex解析
摘要: 原文发表于百度空间,2010-08-09 在Windows系统的对象管理中,为了能够从对象头获取对象类型指针,在Win7以前的系统里直接在OBJECT_HEADER里保存了POBJECT_TYPE指针,而这一点在Win7系统里发生了改变。Win7中把所有的对象类型放在了一个表里,这个表叫做ObTyp 阅读全文
posted @ 2018-12-27 10:21 黑月教主 阅读(467) 评论(0) 推荐(0) 编辑
【旧文章搬运】NtGlobalFlags
摘要: 原文发表于百度空间,2010-08-06 - NtGlobalFlagsFLG_STOP_ON_EXCEPTION 0x00000001FLG_SHOW_LDR_SNAPS 0x00000002FLG_DEBUG_INITIAL_COMMAND 0x00000004FLG_STOP_ON_HUNG_ 阅读全文
posted @ 2018-12-27 10:18 黑月教主 阅读(367) 评论(0) 推荐(0) 编辑
【旧文章搬运】从XP到Win7看Windows对象管理的变化(概述)
摘要: 原文发表于百度空间,2010-08-01 今天花了一点时间把Windows对象管理的变化看了一下,重点放在了Win7这个新的系统上。事实上,在对象管理这一部分上,从XP、2003几乎没有什么变化,到Vista以后,对象的管理依然没有太大变化,只是内核多导出了几个与对象操作有关的函数而已。而到了Win 阅读全文
posted @ 2018-12-27 10:16 黑月教主 阅读(471) 评论(0) 推荐(0) 编辑
【旧文章搬运】PsVoid中IrpCreateFile函数在Win7下蓝屏BUG分析及解决
摘要: 原文发表于百度空间,2010-04-05 这也许是我这个假期唯一做的跟Code有关的事了,已经一个多月没写代码了~~问题是这样的,某同学A,在自己的工程中使用了PsVoid的部分驱动源码(感谢炉子开源~~),提到里面的IrpCreateFile函数在Win7下始终会蓝屏,希望我能帮忙解决一下。于是, 阅读全文
posted @ 2018-12-27 10:05 黑月教主 阅读(602) 评论(0) 推荐(0) 编辑