摘要： 之前曾讲过通过PhysicalMemory进入RING0的一些绕过攻击方式：(http://hi.baidu.com/mj0011/blog/item/1c92ed03bea96d80d53f7c00.html）其中提到的为\Device\PhysicalMemory创建符号链接的方式来绕过对ZwOpenSection打开这个Section的拦截，这个实际很多安全软件都已经防御了，例如Comodo , 卡巴，等等，但是他们仅仅是拦截对\Device\PhysicalMemory的Symbolic Link创建，这样足够吗？答案当然是否定的。我们仔细看\Device\PhyscialMemory 阅读全文

摘要： 我经常在网上遇到心如火燎的提问者。他们碰到很多工作中的技术问题，是关于驱动开发的。其实绝大部分他们碰到的“巨大困难”是被老牛们看成初级得不能再初 级的问题。比如经常有人定义一个空的UNICODE_STRING,然后往里面拷贝字符串。结果无论如何都是蓝屏。也有人在堆栈中定义一个局部 SPIN_LOCK,作为下面的同步用——这样用显然没有任何意义。我无法一一回答这些问题：因为往往要耐心的看他们的代码，才能很不容易的发现这些错 误。而且我又不是总是空闲的，可以无休止的去帮网友阅读代码和查找初级错误。但是归根结底，这些问题的出现，是因为现在写驱动的同行越来越多，但是做驱动 开发又没有比较基础的，容易读 阅读全文