关于隐藏文件夹
摘要:学了文件过滤驱动,其实多少都要尝试下文件夹隐藏,网络上关于这些的讲解和代码都不少。主要是使用文件过滤驱动监控IRP_MJ_DIRECTORY_CONTROL的IRP,对其返回的FILE_BOTH_DIR_INFORMATION结构进行过滤和修改达到我们隐藏我们指定的文件夹的目的。FILE_BOTH_...
阅读全文
posted @ 2014-05-29 20:36
05 2014 档案
IoGetRelatedDeviceObject学习
摘要:PDEVICE_OBJECTIoGetRelatedDeviceObject( IN PFILE_OBJECT FileObject )/*++Routine Description: This routine returns a pointer to the actual dev...
阅读全文
posted @ 2014-05-29 20:32
CPU与IRP的一些相关函数
摘要:VOIDKiAdjustIrpCredits ( VOID )其中 Number = KeNumberProcessors;Prcb = KiProcessorBlock[Index];多核情况下调整每个CPU的IRP对象配额。在while (Index Lookaside...
阅读全文
posted @ 2014-05-29 20:30
HOOK NTFS 禁止格式化
摘要:if(bHooked == FALSE){RtlInitUnicodeString (&HookDriverName, L"\\FileSystem\\Ntfs");//获得\Driver\VolSnap驱动对象status = ObReferenceObjectByName (&HookDrive...
阅读全文
posted @ 2014-05-29 20:29
文件重命名的几种写法
摘要:现在主要的是通过往ZwSetInformationFile发送HANDLE和改名请求再者就是往IoSetInformation发送FILEOBJECT和改名请求以及我自己模仿iosetinformation写成的创建IRP改名voidRenameFileROutineByHandle(){ UNIC...
阅读全文
posted @ 2014-05-29 20:27
ProcessHacker学习笔记
摘要:ProcessHacker学习笔记ProcessHacker是一款拥有windows任务管理器的开源软件。学习该软件,可增长windows操作系统多方面系统机制知识和性能统计设计的能力。1、获取进程内存占用率windows系统下,无论任何版本,都可以在任务管理器下查看各个进程的内存占用率。XP 20...
阅读全文
posted @ 2014-05-29 20:22
windows 与 Linux SOCKET通讯
摘要:windows client 端口// Def_win_client_socket_test.cpp : 定义控制台应用程序的入口点。//#include "stdafx.h"#include #pragma comment(lib,"ws2_32.lib")#define PORT 4000#de...
阅读全文
posted @ 2014-05-29 20:20
windbg 经典死锁调试
摘要:代码// Deadlock_Debug.cpp : 定义控制台应用程序的入口点。//#include "stdafx.h"#include "windows.h"#include // All the thread must get all of critial_section// Classic ...
阅读全文
posted @ 2014-05-29 20:17
windows内核对象管理学习笔记
摘要:目前正在阅读毛老师的《windows内核情景分析》一书对象管理章节,作此笔记。Win内核中是使用对象概念来描述管理内核中使用到的数据结构。此对象(Object)均是由对象头(Object Header)组成,实际上由于对象头概念的特殊结构,还有些可选成分。于是一个对象实际上是分为三部分。OBJECT...
阅读全文
posted @ 2014-05-29 20:07
