不抽烟，少喝酒，多运动，多思考，多努力

摘要： 再看nt下无驱执行ring0代码 （在不考虑正误的前提下，胡说八道一番…有点罗嗦…没办法。。。） Author:icelord@ustb@05/11/19 （这仅是一篇日记而已…） 大二时看网上的“无驱执行ring0代码”看得我一头雾水，今天重新拿起来看了几遍，有点收获，将想法记录一下…. X86平台上，cpu可以工作在三个特权级别下，ring0—ring3,其中ring0具有最高权限，可以执行任... 阅读全文

摘要： http://hi.baidu.com/uvbs/blog/item/919aa13f450a2cf2828b13ef.html http://blog.csdn.net/uvbs/default.aspx?PageNumber=1 dump gdt: http://www.archivum.info/microsoft.public.windbg/2006-09/msg00001.html... 阅读全文

摘要： 1.Basic of IDT in Windbg ,we can get IDT table using lkd> !idt -a Dumping IDT: 00: 80542550 nt!KiTrap00 01: 805426cc nt!KiTrap01 02: Task Selector = 0x0058 ... 阅读全文

摘要： windows中实际的中断处理是通过IoConnectInterrupt注册的。。。。 NTSTATUS NTAPI IoConnectInterrupt(OUT PKINTERRUPT *InterruptObject, IN PKSERVICE_ROUTINE ServiceRoutine, IN PVOID Serv... 阅读全文

摘要： 1． 什么是Checked Build？ Windows 2000 Professional、Windows XP Professional和Windows Server 2003都有一个特殊的调试版本，被称为检查版本（Checked Build）。这是Windows操作系统代码在设置了“DBG”标志后重新编译的得到的一个版本，因此包含了调试信息，而且编译时没有做任何的代码优化。 之所以提供这... 阅读全文

摘要： http://www.osronline.com/article.cfm?id=282 THE NT INSIDER http://www.osronline.com/section.cfm?section=17 阅读全文

摘要： If you asked a random collection of techno-dweebs to name the system service API that is native to Windows NT chances are the vast majority would say something that eventually translated to "The Win32... 阅读全文

摘要： Sidebar Discussion -- Nt vs. Zw Continued The NT Insider, Vol 10, Issue 5, September - October 2003 | Published: 10-Nov-03| Modified: 10-Nov-03 One of the most fun things about writing for The NT I... 阅读全文

摘要： Nt vs. Zw - Clearing Confusion On The Native API The NT Insider, Vol 10, Issue 4, July-August 2003 | Published: 15-Aug-03| Modified: 27-Aug-03 Click Here to Download: Code Associated With This Arti... 阅读全文

摘要： 键盘钩子比较麻烦的就是得到KeyboardInterruptService 的地址，有什么方法呢？lkd> !idt Dumping IDT: 37: 806d0728 hal!PicSpuriousService37 3d: 806d1b70 hal!HalpApcInterrupt 41: 806d19cc hal!HalpDispatchInterrupt 50: 806d0800 hal!... 阅读全文