刘收获

摘要：“进程内存管理器”这个程序实现的最基本功能也就是对内存的读写，之前的两篇文章也就是做的一个铺垫，介绍了内核模式切换和IoDeviceControl函数进行的应用程序与驱动程序通信的问题。接下来就进入正题了，对于内存查询，读写问题。 先来总结一下windows内存体系结构，这部分的学习主要是参照《wi 阅读全文

摘要：在“进程内存管理器中”的一个Ring0，Ring3层通信问题，之前也见过这样的代码，这次拆分出来详细总结一下。 先通过CreateFile函数得到设备句柄，CreateFile函数原型： 打开：createFile 关闭：closehandle 与普通文件名有所不同，设备驱动的“文件名”(常称为“设 阅读全文

摘要：很久不写博客了，笔记大多记在电脑上在，以后整理好了再搬运上来吧。 今天记一下“进程内存管理器”这个小程序上遇到的一个问题——内核模式调用Nt*函数。 使用的是内核中的NtQueryVirtualMemory函数，先看一下WinDbg: kd> u NtQueryVirtualMemory ntdll 阅读全文