2017年10月24日
PE格式详解讲解1
摘要: 这篇文章主要转载自小甲鱼的加密解密部分,然后补充加上我自己的少许内容,原文地址–>传送门 下面的内容主要是围绕这个图来进行 MS-DOS头部这个头部是为了兼容早期的DOS系统,PE文件的第一个字节起始于一个传统的MS-DOS头,被称为IMAGE_DOS_HEADER,这个结构体完整的... 阅读全文
posted @ 2017-10-24 20:55 masimaro 阅读(425) 评论(0) 推荐(0)
PE文件简介
摘要: PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件,PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)。它是跨win32平台的,只要运行在Windows上,不管是在什么... 阅读全文
posted @ 2017-10-24 20:55 masimaro 阅读(1008) 评论(0) 推荐(0)
hook键盘驱动中的分发函数实现键盘输入数据的拦截
摘要: 我自己在看《寒江独钓》这本书的时候,书中除了给出了利用过滤的方式来拦截键盘数据之外,也提到了另外一种方法,就是hook键盘分发函数,将它替换成我们自己的,然后再自己的分发函数中获取这个数据的方式,但是书中并没有明确给出代码,我结合书中所说的一些知识加上网上找到的相关资料,自己编写了相... 阅读全文
posted @ 2017-10-24 20:55 masimaro 阅读(520) 评论(0) 推荐(0)
遍历系统中加载的驱动程序以及通过设备对象指针获取设备对象名称
摘要: 遍历系统中加载的驱动可以在R3层完成,通过几个未导出的函数:ZwOpenDirectoryObject、ZwQueryDirectoryObject,下面是具体的代码。//在这定义些基本的数据结构,这些本身是在R0层用的比较多的typedef struct _UNICODE_STRI... 阅读全文
posted @ 2017-10-24 20:55 masimaro 阅读(1953) 评论(0) 推荐(0)
如何利用git shell提交代码到github
摘要: 在很早之前我根据找到的一些资料以及自己的实践总结了一篇如何将VS2015上的代码上传到GitHub上,后来我发现有小伙伴私信我,说跟我上面写的不一样,但是那段时间也比较忙,当我发现有人私信的时候差不过过了一个多月了,也就没有回复,最近重新装了系统,在重新下载相关插件时速度太慢了,实在... 阅读全文
posted @ 2017-10-24 20:55 masimaro 阅读(1135) 评论(0) 推荐(0)
驱动开发中的常用操作
摘要: 这篇文章会持续更新,由于在驱动中,有许多常用的操作代码几乎不变,而我自己有时候长时间不用经常忘记,所以希望在这把一些常用的操作记录下来,当自己遗忘的时候,有个参考创建设备对象创建设备对象使用函数IoCreateDevice,它的参数如下:NTSTATUS IoCreateDevi... 阅读全文
posted @ 2017-10-24 20:55 masimaro 阅读(419) 评论(0) 推荐(0)
PE文件详解(五)
摘要: 在前面几节中经常提到相对虚拟地址RVA,在这篇博客中主要说明这个概念。本来是想接着转载小甲鱼的,但是我自己根据这篇文章和他的视频来学习的时候,发现在RVA与文件的相对偏移地址进行转化的时候,那块我看不懂,不知道为什么要这样转化,而且前面很多东西都反复讲了好多遍,比如对齐的问题,所以,... 阅读全文
posted @ 2017-10-24 20:55 masimaro 阅读(484) 评论(0) 推荐(0)
PE文件详解(四)
摘要: 本文转自小甲鱼的PE文件详解系列原文传送门 到此为止,小甲鱼和大家已经学了许多关于 DOS header 和 PE header 的知识。接下来就该轮到SectionTable (区块表,也成节表)。 越学越多的结构,大家可能觉得PE挺乱挺杂的哈,所以这里插播下一下必要知识的详细注释... 阅读全文
posted @ 2017-10-24 20:55 masimaro 阅读(414) 评论(0) 推荐(0)
duilib基本流程
摘要: duilib的基本流程如上图,通过解析一个xml文件,将文件中的内容渲染为窗口界面,这个解析过程由WindowImplBase类来完成。 基本框架如下: 1. 首先在公共头文件中加入如下内容:#include #include using namespace DuiLib;#ifd... 阅读全文
posted @ 2017-10-24 20:55 masimaro 阅读(911) 评论(0) 推荐(0)
驱动程序的同步处理
摘要: 驱动程序运行在系统的内核地址空间,而所有进程共享这2GB的虚拟地址空间,所以绝大多数驱动程序是运行在多线程环境中,有的时候需要对程序进行同步处理,使某些操作是严格串行化的,这就要用到同步的相关内容。 异步是指两个线程各自运行互不干扰,而当某个线程运行取决与另一个线程,也就是要在线程之... 阅读全文
posted @ 2017-10-24 20:55 masimaro 阅读(318) 评论(0) 推荐(0)