Russinovich`s Blog

摘要： David Cutler 全世界公认的Windows NT之父，我们现在最常用的从XP开始直到Win7全部都是NT的内核，只是版本号不一样。这位NT之父对Windows内核有多少代码贡献呢，我统计了... 阅读全文

摘要： 今天在研究Windows内核的源代码的时候无意间发现了很多Mark Lucovsky的名字。 NT的内核作者之一，景仰之情如涛涛江水连绵不绝。 下面是我统计了一下内核源代码当中署名是Mark Luco... 阅读全文

摘要： Slickedit 2011的新特性我最关心如下几点： 1. 终于有了64位版本 2. Context Tagging 支持多线程了 3. 对Visual Studio 2010 支持更加完美了 最... 阅读全文

摘要： 以前我一直不理解Windows Session(会话)倒底是一个什么概念，总是感觉这个概念很虚，现在理解了一点。写下来做一个备忘。简单的说，用户登陆到windows系统之后，不管该用户是本地登陆的，... 阅读全文

摘要： 前几天写了一篇 360内核 inline Hook 分析 有朋友感觉我没有把360的Hook的函数说清楚以至于产生误会。上一篇博客确实没有把这个问题说清楚。 在上篇文章中说到360是Hook nt!... 阅读全文

摘要： 今天一个朋友告诉我，他感觉SlickEdit一点也不好用。其实是他对SlickEdit还不熟悉。如果用熟了的话是非常好用的！ 就是上手有点难度，这点跟Total Command一样！不好上手，但是一旦... 阅读全文

摘要： 今天我下载的瑞星的新版本23.00.24.98，分析一下瑞星在免费之后内核当中的Hook有没有什么变化!1. SSDT 和 Shadow SSDT Hook 瑞星Hook了一大堆的SSDT，我就直接在内核里面把它们都恢复了！2. inline Hook 瑞星Hook了ObReferenceObjectByHandle前面的5个字节Hook前：kd> u nt!ObReferenceObjectByHandlent!ObReferenceObjectByHandle:805b1ab6 8bff mov edi,edi805b1ab8 55 push ebp805b1ab9 8bec mov 阅读全文

摘要： 今天下载了360的最新的版本，想看下最近360在内核的钩子与以前有没有变化！与以前一样还是通过分析找到360下钩子的地方。结果发现与以前没有什么变化。Hook之前:kd> u nt!KiFastCallEntry+0xe1nt!KiFastCallEntry+0xe1:8053e621 2be1 sub esp,ecx8053e623 c1e902 shr ecx,28053e626 8bfc mov edi,esp8053e628 3b35d4995580 cmp esi,dword ptr [nt!MmUserProbeAddress (805599d4)]Hook之后:kd> 阅读全文

摘要： 为什么微软做什么都要与别人不一样！ 在VS中正则表达式竟然是微软自已另搞了一套语法，与perl的语法不太一样，用起来很不舒服。为什么就不能与标准的一样呢!如下图：这个是微软的自已的正则语法(Regular Expressions (Visual Studio))http://msdn.microsoft.com/query/dev10.query?appId=Dev10IDEF1&l=EN-US&k=k(VS.REGULAREXPRESSIONBUILDER)&rd=true 阅读全文

摘要： 我原先使用ChinaUnix博客已经有4年的历史了。 不过ChinaUnix的博客越做越差，不得已搬家到这儿了！希望cnblogs不要让我失望! 阅读全文