上一页 1 ··· 9 10 11 12 13 14 15 下一页
2016年4月7日
YJX_Driver_026_手动加载NT式驱动(非工具)
摘要: 1、 手动加载NT式驱动(非工具) A、观察注册表 B、手动运行驱动 C、手动停止驱动 【100】regedit 【145】文件--> 导出(F)... 可以看到 子键的路径为:“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services” 【170】这 阅读全文
posted @ 2016-04-07 10:28 DebugSkill 阅读(371) 评论(0) 推荐(0) 编辑
YJX_Driver_025_再谈VC环境配置
摘要: 1、 再谈VC环境配置 A、编译选项C/C++ Project Option B、链接选项Link Project Option C、测试所编译驱动 【130】复制 第24课 的代码 【170】用 vs2003编译生成驱动,复制到 虚拟机中。 【185】载入驱动 测试一下 【210】"GO"驱动的时 阅读全文
posted @ 2016-04-07 09:41 DebugSkill 阅读(210) 评论(0) 推荐(0) 编辑
2016年4月6日
YJX_Driver_024_驱动代码中C和C++代码区别
摘要: 1、 驱动代码中C和C++代码区别 A、函数调用约定 B、C和C++编译方式 C、用C++方式编译驱动 D、C代码升级至C++ E、优化21课的代码 本课主要是做着两个工作:"D、C代码升级至C++"、"E、优化21课的代码" 【180】把 第21课 的代码复制过来 【275】一般是通过改后缀名 【 阅读全文
posted @ 2016-04-06 16:58 DebugSkill 阅读(256) 评论(0) 推荐(0) 编辑
YJX_Driver_023_NT式驱动的卸载
摘要: 1、 NT式驱动的安装 A、卸载驱动流程 B、内核函数DeleteService C、内核函数ControlService D、构建UnLoadSys函数 E、测试并查看调试信息 【100】 一、卸载驱动流程 1、用OpenSCManager函数打开 服务控制管理器,取得SCM句柄,如果返回NULL 阅读全文
posted @ 2016-04-06 15:34 DebugSkill 阅读(188) 评论(0) 推荐(0) 编辑
YJX_Driver_022_NT式驱动的安装
摘要: 1、 NT式驱动的安装 A、OpenSCManager B、CreateService C、OpenService D、StartService E、CloseServiceHandle F、集成到loadNTDriver函数 【320】#include <winsvc.h> 【435】MSDN中的 阅读全文
posted @ 2016-04-06 13:57 DebugSkill 阅读(228) 评论(0) 推荐(0) 编辑
2016年4月2日
YJX_Driver_021_绕过驱动保护
摘要: 1、 绕过SSDT驱动保护 A、去掉页面保护 B、写入In Line HOOK代码 C、用OD附加测试效果 D、反HOOK代码 【190】复制 第20课 的代码 【315】涉及到 页面的保护 ==> 涉及到 一个特殊的寄存器 cr0,32位寄存器 ==> 其中的第17位(从第0位开始) ==> CW 阅读全文
posted @ 2016-04-02 17:43 DebugSkill 阅读(331) 评论(0) 推荐(0) 编辑
YJX_Driver_020_JMP地址转换公式推导
摘要: 1、 向指定地址写入代码 A、JMP地址转换公式推导 B、计算实际地址函数RealJmp_Addr C、测试 【240】JMP指令 -> 机器码 --> 0xE9 【260】指令"JMP 88881234" --> 翻译成机器码 --> "E9 88881234" 【328】打开 OD 看一下,JM 阅读全文
posted @ 2016-04-02 10:54 DebugSkill 阅读(366) 评论(0) 推荐(0) 编辑
2016年4月1日
YJX_Driver_019_读出原函数地址
摘要: 1、 第19课、读出原函数地址- A、集成上一课代码至GetNt_CurAddr函数 B、MmGetSystemRoutineAddress C、书写GetNt_OldAddr函数 D、测试结果 【120】第18课的代码 【215】集成上一课代码至GetNt_CurAddr函数 ULONG GetN 阅读全文
posted @ 2016-04-01 21:41 DebugSkill 阅读(297) 评论(0) 推荐(0) 编辑
YJX_Driver_018_读出SSDT表当前函数地址
摘要: 1、 读出SSDT表当前函数地址 A、引用KeServiceDescriptorTable表 B、通过ServiceTableBase+偏移读出当前函数地址 C、用windbg测试读取的值 【100】把第16课代码复制过来(第17课 没有写代码) 【155】上节课的公式 [[KeServiceDes 阅读全文
posted @ 2016-04-01 15:15 DebugSkill 阅读(265) 评论(0) 推荐(0) 编辑
YJX_Driver_017_需要具备的理论知识
摘要: 1、 需要具备的理论知识 A、了解SSDT结构 B、由SSDT索引号获取当前函数地址 C、如何获取索引号 D、获取起源地址 -- 判断SSDT是否被HOOK E、如何向内核地址写入自己的代码 【178】打开 工具KernelDetective 对于内核NtOpenProcess函数,自己写 类似 s 阅读全文
posted @ 2016-04-01 13:37 DebugSkill 阅读(161) 评论(0) 推荐(0) 编辑
上一页 1 ··· 9 10 11 12 13 14 15 下一页