一条小鳄鱼

摘要： vs里提供了一个例子DIA SDK，通过调用msdia140.dll，用来打印pdb符号文件里面的内容。 而这这个dll使用时要先regsvr32注册，同时 例子里也提供了不用注册，直接LoadLibraryExW加载使用的函数NoRegCoCreate 代码在vs的安装目录下，*:\Microso 阅读全文

摘要： 通过使用用iphlapi库里的函数来获取网络信息。 如针对tcp， 3个函数( GetExtendedTcpTable / AllocateAndGetTcpExTableFromStack / GetTcpTable )，有哪个用哪个，函数底层基本一样 // 下面的测试例子通过GetExtende 阅读全文

摘要： xp系统下的CreateFile， 大体框架 +++ CreateFileA -> CreateFileW( LPCWSTR lpFileName, DWORD dwDesiredAccess, DWORD dwShareMode, LPSECURITY_ATTRIBUTES lpSecurityA 阅读全文

摘要： 主要常识描述完成例程是如何导致蓝屏的问题，发现关键在于错误的设置导致 IopCompleteRequest 被多次调用 1.先看NtReadFile这个函数 NtReadFile（）{ ... IopSynchronousServiceTail(); // 内部调用此函数 } = IopSynchr 阅读全文

摘要： 参考： 句柄表详解 https://zhuanlan.zhihu.com/p/27089753 PspCidTable 完全解读 https://blog.csdn.net/whatday/article/details/17189093 1. Handle值作为索引，取其高30位，相当于 Hand 阅读全文

摘要： #####xp下用xuetr查看系统中断表，可以看到很多红色的未知模块，其实这就是设备正常的中断处理函数，那些序号保存在 HalpInTitoVector 里面 #####这一堆向量是通过 index*0x10 + 0x50 + (1..nPriority[index]) 计算出来的 #####譬如 阅读全文

摘要： ####主要是看设备这些数据存放在哪里 设备管理器，查看设备属性，下图是我自己电脑上任意选的一个 #####可以看到 bus = 21， device = 0， function = 0 ，驱动为 ohci1394.sys 先说结果，device 和 function number存放在 Devic 阅读全文

摘要： 看的是网上别人的代码https://github.com/MartinDrab/VrtuleTree 通过ZwOpenDirectoryObject， ZwQueryDirectoryObject，打开"\Driver"和"\FileSystem", 遍历得到所有的驱动名 有了驱动名，通过ObRef 阅读全文

摘要： ####IoConnectInterrupt的内部实现， 看他是如何把ServiceRoutine( ServiceContext ) 设置成IDT中断处理函数的 #####先看看_KINTERRUPT的结构 kd> dt _KINTERRUPT 817687d8 nt!_KINTERRUPT +0 阅读全文

摘要： #####网卡驱动注册中断处理 通过NdisMRegisterInterruptEx注册中断处理函数，内部从处理代码如下 ... INITIALIZE_DPC( &Interrupt->InterruptDpc, // 初始化一个dpc MINIPORT_TEST_FLAG(Miniport, fM 阅读全文