黑月教主 - 博客园

2018年12月26日

摘要：原文发表于百度空间，2008-7-24 这些是驱动中相关的数据结构．驱动对象，由I/O管理器创建，用于管理设备(Device):lkd> dt _DRIVER_OBJECTntdll!_DRIVER_OBJECT +0x000 Type : Int2B +0x002 Size : Int2B +0 阅读全文

posted @ 2018-12-26 11:51 黑月教主阅读(217) 评论(0) 推荐(0) 编辑

【旧文章搬运】Windows内核常见数据结构(内核对象)

摘要：原文发表于百度空间，2008-7-23 继续学习，继续补充...事件：lkd> dt _KEVENTntdll!_KEVENT +0x000 Header : _DISPATCHER_HEADER 信号量:lkd> dt _KSEMAPHOREntdll!_KSEMAPHORE +0x000 Hea 阅读全文

posted @ 2018-12-26 11:29 黑月教主阅读(289) 评论(0) 推荐(0) 编辑

【旧文章搬运】Windows内核常见数据结构(基本类型）

摘要：原文发表于百度空间，2008-7-23 学内核从基本数据结构开始吧，就像学Ｃ语言时从学习int,char开始一样．只列出目前见到和用到的，其它后面再补充～常用数据结构：数字：lkd> dt _ULARGE_INTEGERntdll!_ULARGE_INTEGER +0x000 LowPart : 阅读全文

posted @ 2018-12-26 11:27 黑月教主阅读(266) 评论(0) 推荐(0) 编辑

2018年7月28日

VC将同一份代码同时编译为Dll和Exe的方法

摘要：开发中经常遇到这样的情况，需要开发一个某某功能的接口Dll，但是Dll不能直接调试，你至少需要一个Loader 但是Loader和Dll本身不在同一个工程里，虽然都在本机的话并不影响源码级调试，但是总感觉如果同一个工程既能作为Dll又能做为独立Exe的话，调试起来会更加方便些或者是本来有个控制台版阅读全文

posted @ 2018-07-28 22:44 黑月教主阅读(1576) 评论(0) 推荐(0) 编辑

2018年3月21日

VC链接hid.lib出错问题解决方案

摘要：写一个HID的客户端小程序，调用了一些HID API，但是链接时出现了奇怪的现象。尽管我已经把头文件和lib文件加入到了VC的Include和Lib目录中，但不管我用VC链接，还是在DDK环境下链接，都会提示如下的错误 1>E:\WINDDK\3790.1830\lib\wnet\i386\Buf 阅读全文

posted @ 2018-03-21 21:20 黑月教主阅读(750) 评论(0) 推荐(0) 编辑

2016年6月14日

[转载]挂接缓存管理器CcMapData()实现文件XX

摘要：原作者Azy,发表于DebugMan论坛。这个方法的最大好处在于简单~~不用分别处理~~ 阅读全文

posted @ 2016-06-14 18:17 黑月教主阅读(666) 评论(0) 推荐(0) 编辑

2016年5月16日

[转载]文件过滤驱动文件系统激活通知 IoRegisterFsRegistrationChange函数实现

摘要： IoRegisterFsRegistrationChange 注册一个文件系统变动回调函数，用来被通知文件系统的激活和注销，激活是指第一次加载文件系统，当一个文件系统已经加载后，当加载一个同种文件系统的卷时，该文件系统就和激活没关系。话说该函数调用后，激活的文件系统会重新激活一遍，在2k SP4之后阅读全文

posted @ 2016-05-16 15:35 黑月教主阅读(925) 评论(0) 推荐(0) 编辑

2016年4月24日

DDK编写64位驱动时加入x64汇编的方法

摘要：上篇讲了如何在编写x64应用程序时加入x64汇编，这里来说说如何在编写x64驱动时加入x64汇编。一、在asm文件中单独编写功能函数比如要实现一个64位的加法函数，原型如下：那么源码目录（一般是sources文件所在的目录）新建一个文件夹，名字叫做 amd64。然后新建一个文件，写入以下内容阅读全文

posted @ 2016-04-24 12:22 黑月教主阅读(2721) 评论(0) 推荐(0) 编辑

2016年4月10日

VS2010中编写x64汇编的具体方法

摘要：编写涉及系统特性的一些底层程序，特别是ShellCode，不可避免地要采用直接编写汇编代码的方式。在目标平台为x86模式时，可以直接使用内联汇编，这个很多人都比较熟悉了，也非常地方便。但是当目标平台为x64时，微软不再允许直接内联汇编了，这给我们编程造成了一些不便。怎么解决这个问题呢？一种办阅读全文

posted @ 2016-04-10 09:40 黑月教主阅读(13633) 评论(1) 推荐(1) 编辑

2016年3月29日

把旧文章搬过来

摘要：以前好多文章发在百度空间里面，地址是http://hi.baidu.com/_achillis/ 只是没想到，百度这个货竟然能把空间改成一坨屎然后居然就倒闭了！之前换了网易博客，感觉一般，最后还是换到这里，程序员的聚集地。接下来会陆陆续续把以前写的一些旧文章搬过来，体力活啊。。。在搬文章的过程阅读全文

posted @ 2016-03-29 12:46 黑月教主阅读(341) 评论(0) 推荐(0) 编辑

2016年3月24日

重新安装VMware10提示"The Msi '' Failed"问题解决方案

摘要：想把虚拟机软件升级以下，没想到卸载的时候不干净，再安装的时候总提示让我先卸载旧版本但实际上旧版本已经卸载过了，这里又没法再卸载一次，所以就提示”The MSI '' failed“ 显然，安装程序还是在系统中找到了安装过Vmware的痕迹，所以才会这样提示我删除了所有相关的文件，还有注册表中的项目，阅读全文

posted @ 2016-03-24 22:42 黑月教主阅读(5631) 评论(0) 推荐(0) 编辑

2016年3月9日

记两个用于修改用户态内存的函数

摘要： //用于在LoadImageRoutine中使用，修改用户态内存 PMDL MapUserModeAddrWritable(PVOID BaseAddr,ULONG Length, PVOID *pNewAddr); VOID UnmapMemory(PVOID pAddr, PMDL pMdl); 阅读全文

posted @ 2016-03-09 02:55 黑月教主阅读(454) 评论(0) 推荐(0) 编辑

2016年2月14日

一个不当使用fclose引发的异常

摘要：最近服务器上一个后台传输文件的服务，经常会报出异常来，只能强行终止并重启。昨天刚好有空，现场抓了一下dump，再把程序扔到IDA里看了一下，很快就找出原因了，原来是调用fclose时出错的。使用C的Runtime函数进行文件操作，也就是fopen,fread,ftell,fclose这些，本身这阅读全文

posted @ 2016-02-14 12:25 黑月教主阅读(4733) 评论(0) 推荐(0) 编辑

2016年1月28日

大数据迁移

摘要：由于服务器调整，需要把服务器A上面约2T的数据库表空间文件迁移到同网段的另一台服务器B。具体来说，就是N个32G的表空间文件（注意，是单个文件32G）局域网传输文件的工具很多，但是没想到的是，一旦处理起这么大的文件，基本全部歇菜。。先试了FeiQ，传输速度是很快，1000M网卡下速度可以达到9 阅读全文

posted @ 2016-01-28 12:08 黑月教主阅读(696) 评论(0) 推荐(0) 编辑

2015年12月14日

固定dll的加载基址的方法

摘要：调试dll的时候会有一件事情比较烦人，就是dll加载的地址不会很固定（默认设置下编译的dll基址总是0x10000000，多个同基址的dll加载时，后面的肯定会被重定位），这给前后多次调试时对比分析结果造成了一些麻烦，要解决这个问题，有两种办法。方法一：直接修改dll文件PE头中的ImageBas... 阅读全文

posted @ 2015-12-14 20:49 黑月教主阅读(5749) 评论(0) 推荐(0) 编辑

黑月教主的空间

公告