摘要:
我们的驱动在被系统加载的同时,内存中会出现一个描述我们驱动信息的对象:DRIVER OBJECT,而这个对象的地址,其实就保存在我们驱动的入口函数 Driver Entry 的第1个参数中。 在 DriverObject 对象中,有一个 Driver Section 成员,它所指向的是一个名叫 _L 阅读全文
摘要:
其实很简单,由于驱动本来就在0环跑,所以不用担心权限不够,直接拿着函数的一堆特征码到内存中1字节1字节的比对就行,这里是以定位并调用未导出函数 PspTerminateProcess 为例: 1 #include <ntifs.h> 2 3 NTSTATUS PsLookupProcessByPro 阅读全文