|
|||
|
摘要:
标 题:【原创】NDIS中间层驱动开发在Win7系统下和Windows XP系统下的区别作 者:tianhz时 间:2011-07-21,14:58:04链 接:http://bbs.pediy.com/showthread.php?t=137545网络数据由在网络上发送和接收的数据包组成。NDIS提供了数据结构来描述它们,NDIS6.0提供了如下数据结构:1)NET_BUFFER2)NET_BUFFERLIST3)NET_BUFFER_LIST_CONTEXT 在NDIS6.0中,NET_BUFFER是封闭网络数据的基本构建块。每一个NET_BUFFER都有一个MDL链。这些MDL映射的缓冲 阅读全文
posted @ 2013-03-21 09:08 Ady Lee 阅读(400) 评论(0) 推荐(0) 编辑
摘要:
[0x00] 网上有很多讨论关于NDIS HOOK的文章,但大多只讲了WIN7之前的HOOK NDIS_OPEN_BLOCK下的例程,至于WIN7下怎么HOOK以及如何做MINIPORT-HOOK,网络上则鲜有提及.根据前阵子的相关分析,我把NDIS HOOK总结一下,网上有一些讨论NDIS HOOK的文章,请读者先阅读那些文章对NDIS HOOK有个基本了解.[0x01] 首先是获取物理网卡的设备GUID,如果只是做普通的NDIS HOOK则可以忽略此步.为什么要获取物理网卡的GUID呢,因为系统内可能有多个MINIPORT,每个MINIPORT对应一个网卡设备,无论这个网卡是虚拟的还是物理 阅读全文
posted @ 2013-03-21 09:02 Ady Lee 阅读(374) 评论(0) 推荐(0) 编辑
摘要:
文件过滤驱动一、文件透明加解密关键字:透明、文件过滤驱动、加密标识,缓存文件过滤驱动最重要的两点是搞定加密标识和缓存管理1、透明概念:透明指的是用户在操作的时候,虽然后台在自动的进行加解密,但是用户根本就不知道加密的存在,就像中间隔了一层透明的玻璃一样。 透明的好处在于不改变用户的操作,一切都和加密之前一样,甚至在有些企业安装加密后都无需通知所有的员工,就像加密并不存在一样,只是加密文件到了企业安全环境的外部才会发现文件无法打开。透明的程度也是加密软件一个很重要的方面,例如:正在编辑一个Word文件时,能否拷贝或者使用其他程序来读取这个文件,如果不能那么这里就不够透明,在一些PDM的文档管理软 阅读全文
posted @ 2013-03-20 17:11 Ady Lee 阅读(1357) 评论(1) 推荐(0) 编辑
摘要:
标 题:【分享】整理一份我对Windows文件系统过滤驱动的sFilter工程代码的详细说明作 者:tianhz时 间:2012-06-19,18:32:07链 接:http://bbs.pediy.com/showthread.php?t=152338我希望大家能够注意几个忽略的地方:(1)ShadowCopyVolume---也就是卷影。(2)FastIo函数。(3)文件系统控制设备对象的绑定。(4)文件系统卷设备的绑定。(5)SfCreate函数的一个小细节。 阅读全文
posted @ 2013-03-20 17:09 Ady Lee 阅读(378) 评论(0) 推荐(0) 编辑
摘要:
晕了好几天,总算把Ifs的动态加解密给闹明白了。为了后来者不再晕,总结如下:1.加密在SfWrite(IRP_MJ_WRITE)中,而不是完成例程,解密在SfRead(IRP_MJ_READ)中,而不是完成例程,3.只要处理IRP_NOCACHE|IRP_PAGING_IO|IRP_SYNCHRONOUS_PAGING_IO2.加密简单过程:a.得到Windows传下来的Buffer Address,if (Irp->MdlAddress){SysDataBuf = MmGetSystemAddressForMdlSafe(Irp->MdlAddress, NormalPagePr 阅读全文
posted @ 2013-03-20 17:02 Ady Lee 阅读(319) 评论(0) 推荐(0) 编辑
摘要:
1.1 GRUB2特色本文所用GRUB2版本为1.99,GRUB2是为了取代GRUB而完全重写的第二版,引用:GRUB 2, which is a rewrite of GRUB, is alive and under development. GRUB 2 aims at merging sources from PUPA in order to create the next generation of GNU GRUB. A mailing list and a wiki have been setup for discussing the development of GRUB 2.G 阅读全文
posted @ 2013-03-15 13:35 Ady Lee 阅读(635) 评论(0) 推荐(0) 编辑
摘要:
使用内核调试会话也可以执行一些用户态调试任务,比如向位于用户态的模块设置断点。但这样做与使用用户态调试器有什么不同呢?我们就以向NTDLL.dll模块的ZwTerminateProcess函数(Stub)为例谈谈二者的区别。区别一、在内核调试会话中设置这个断点的“难度”略大些。这是因为NTDLL不属于内核态的模块,所以内核会话通常不会加载这个模块(的符号),因此当执行bp命令时很可能被自动蜕化为bu命令。0:kd>bpntdll!ZwTerminateProcessBpexpression'ntdll!ZwTerminateProcess'couldnotberesolv 阅读全文
posted @ 2013-03-14 16:47 Ady Lee 阅读(480) 评论(0) 推荐(0) 编辑
摘要:
!process 0 0 winlogon.exe.process /p /r 815196c0!peb (不用此命令,x列不出msgina的符号表).reload /s /f msgina.dllx msgina!*bu msgina!xxxx 阅读全文
posted @ 2013-03-14 14:03 Ady Lee 阅读(234) 评论(0) 推荐(0) 编辑
摘要:
之前的调试winlogon程序,要在系统注册表做些设置。后来看到网上调试lsass程序只要按如下方法:!process 0 0 lsass.exe.process /p /r 815196c0我发觉按上面的方法做,连设置注册表都不需要了,非常方便。接着我们就可以按调用户模式的程序一样下断点调试了。举个例子,我们在登录的过程中需要输入用户名、密码,按如下过程就可以看到输入的内容了。我在user32!GetDlgItemTextW下了个断点,这个API我是在OD下看它的调用参考得来的(你可以复制一份,不运行它,只用来看反汇编,OD反出来的汇编码还是蛮好的)。kd>!process 0 0 w 阅读全文
posted @ 2013-03-14 14:02 Ady Lee 阅读(807) 评论(0) 推荐(0) 编辑
摘要:
调试winlogon尽管winlogon也是用户模式的程序,但是它处理用户的登录、注销、以及CTRL+ALT+DELETE的操作,如果用一般的方法调试,一旦它切换桌面,就无法输入,无法控制调试器了。这里我用“虚拟机+WinDbg+系统自带ntsd”的方法调试。启动虚拟系统先按设置允许winlogon调试,如下:1、建立键值“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File ExecutionOptions\WinLogon.EXE\Debugger”使它的类型REG_SZ,值为“ntsd -d 阅读全文
posted @ 2013-03-14 14:01 Ady Lee 阅读(691) 评论(0) 推荐(0) 编辑 |
|||
