随笔分类 -  Windows驱动

摘要:荣耀,一个伟大的品牌,老大哥,厚道。 本文其实不长,只是对老大哥的一个赞扬。 重点说明: 一阴一阳之谓道。——《易传・系辞上》 道生一,一生二,二生三,三生万物。——《道德经》 人法地,地法天,天法道,道法自然。——《道德经》 人本身生于阴阳,阴阳二气同时存在,阴阳必然和合,孤阴不长,独阳不生。 结 阅读全文
posted @ 2023-05-27 14:19 穷到底 阅读(105) 评论(0) 推荐(0) 编辑
摘要:快一年没更新了,累,工作累,各种累,想换个工作,突然发现找不到合适的工作了,哎,自己往火坑里跳,怪不得别人。 import idautils import idaapi import idc print("new ") #ea = idc.get_curline() #print(ea) # def 阅读全文
posted @ 2023-04-02 14:42 穷到底 阅读(202) 评论(0) 推荐(0) 编辑
摘要:https://docs.microsoft.com/en-us/windows-hardware/drivers/debugger/javascript-debugger-scripting 主要命令就一个 .scriptrun D:\Debug\js_script\script.js 用 Win 阅读全文
posted @ 2022-04-06 16:58 穷到底 阅读(255) 评论(0) 推荐(0) 编辑
摘要:花了一些时间,了解了一下ebpf 的功能、代码、for windows 使用, 看了一下相关的逻辑, 目前个人感觉是,不宜应用到我们自己的项目中, 以下所说”脚本“,均指”开发人员修改的规则文件,形式是gnuc 代码“。 优势:速度快,各种速度都快 开发:一套框架,直接用到死 修改规则:开发人员直接 阅读全文
posted @ 2022-03-18 16:09 穷到底 阅读(461) 评论(0) 推荐(0) 编辑
摘要:我的这个库,太大了,而且接口定义不太合理,我希望改一改, 但是太大了,已经改不动了。 代码行数就4万多,头文件竟然38万行,里面至少也有好几万行是代码, 因为好多代码我都写在头文件中,然后内联了, 这套库是驱动库, 我是先写的这套驱动库,上层还有一套应用层库。 应用层的库,目前还很小 我希望把两套库 阅读全文
posted @ 2021-06-22 22:52 穷到底 阅读(100) 评论(0) 推荐(0) 编辑
摘要:只要获取指定的内核文件, 根据内核文件下载到指定的pdb, 然后通过工具(或者自写代码)导出pdb内的结构体,就可以直接用了, 程序内部组织两套结构体处理函数, 第一套: 程序内置若干常用的版本结构体 在系统初始化的时候,处理系统版本, 如果记录已经内置了结构体, 那么就设置标识, 1:已经内置了结 阅读全文
posted @ 2020-11-24 11:37 穷到底 阅读(229) 评论(0) 推荐(0) 编辑
摘要:1 aS ufLinkS "<u><col fg=\\\"emphfg\\\"><link name=\\\"%p\\\" cmd=\\\"uf 0x%p\\\">"; 2 aS ufLinkE "</link></col></u>"; 3 4 r $t1 = nt!KeServiceDescrip 阅读全文
posted @ 2020-11-23 11:55 穷到底 阅读(194) 评论(0) 推荐(0) 编辑
摘要:1 aS ufLinkS "<u><col fg=\\\"emphfg\\\"><link name=\\\"%p\\\" cmd=\\\"uf 0x%p\\\">"; 2 aS ufLinkE "</link></col></u>"; 3 4 r $t1 = nt!KeServiceDescrip 阅读全文
posted @ 2020-11-20 16:43 穷到底 阅读(189) 评论(0) 推荐(0) 编辑
摘要:x86 环境下,从PEB里面取进程路径,如果进程名字包含 123 那么断下来,这里使用的是宽字符字符串。 bp 84ad4b7a "as /mu $Name poi(poi($peb + 0x10) + 0x038 + 4);.block{.if($spat(\"${$Name}\",\"*123* 阅读全文
posted @ 2020-11-16 23:38 穷到底 阅读(170) 评论(0) 推荐(0) 编辑
摘要:在 !peb 的返回结果中,查找 taskhost.exe ,找到了就输出 .shell -ci "!peb" find /I "taskhost.exe" 其实没太大用处,就是看内容用的 阅读全文
posted @ 2020-11-16 23:03 穷到底 阅读(115) 评论(0) 推荐(0) 编辑
摘要:网页竟然打不开了,赶快存下来,没准哪天用得到 下表列出了系统提供的安全引用支持例程的子集,这些例程可由内核模式文件系统和微筛选器和旧筛选器驱动程序(而不是设备驱动程序)使用。 除了此处所述的例程,文件系统和筛选器驱动程序还可以调用ntifs中声明的内核模式驱动程序体系结构参考部分中所述的任何Se_X 阅读全文
posted @ 2020-08-07 17:30 穷到底 阅读(507) 评论(0) 推荐(0) 编辑
摘要:https://github.com/276793422/MicrosoftSymbolServerProxy 去下载吧 由于我在工作中,不定时地需要使用微软的调试工具——Windbg。 不定期地需要通过它来下载微软的符号。 但是近期出现了一个问题,就是微软的符号服务器无法连接了。是因为微软符号服务 阅读全文
posted @ 2020-08-04 20:47 穷到底 阅读(647) 评论(1) 推荐(0) 编辑
摘要:情况是这样的。 昨天,我得到了一个dump,这个dump是个full dump, 是一个系统蓝屏后的完全内存转储。 产品怀疑是我们的驱动导致出现了问题, 但是我们就不这么认为,所以就开始分析dump, 经过简单地查看调用栈,我们初步确认不是我们的问题。 但是如果要细挖细节的话,问题就来了, 我们只有 阅读全文
posted @ 2020-07-23 12:58 穷到底 阅读(354) 评论(0) 推荐(0) 编辑
摘要:最近在做一个项目,然后出现了一个需求,就是需要使用C++ 开发软件,然后内置集成一个lua引擎, lua引擎调用C++ 的接口,通过脚本来实现一些内置的功能。 我之前的做法是自己做适配层,自己来处理接口相关的事情。 然后通过插件的方式导出接口,最后自己来处理接口,自己来调用。 但是有个问题就是,我每 阅读全文
posted @ 2020-07-20 22:34 穷到底 阅读(1235) 评论(0) 推荐(0) 编辑
摘要:外面没啥好说的, 里面其实也简单, 设置好 bcdedit.exe -set loadoptions DDISABLE_INTEGRITY_CHECKS 然后设置好 msconfig 然后设置好串口输出,就完事了。 很简单 主要是bcdedit 这个关闭驱动签名验证的这个命令不好记。 阅读全文
posted @ 2020-06-30 13:57 穷到底 阅读(142) 评论(0) 推荐(0) 编辑
摘要:我个人从2018年初开始,直到现在,一直在完善一个基于Windows平台的驱动库, 这个库的主要功能是,为R0层各种API提供了一个使用起来更简易的接口,类似于为R0层函数提供了一个适配层,供开发者使用。 整体结构如图吧,即,开发者在编写驱动的时候,通常是要使用微软 DDK、WDK 接口来开发驱动的 阅读全文
posted @ 2020-06-21 16:01 穷到底 阅读(200) 评论(0) 推荐(0) 编辑
摘要:其实没那么复杂 cmd 输入 msconfig 然后根据配置点两个勾就好了, 还得bcdedit,太费劲。。。 阅读全文
posted @ 2020-05-02 00:15 穷到底 阅读(216) 评论(0) 推荐(0) 编辑
摘要:经过半天的分析和了解,大致明白了这个工具的使用方法和原理。 这个工具,会将一个源文件(目前我是用单一源文件测试的,没有使用目录测试), 每一个有效符号或者元素都解析出来,之后储存在一个大list里面,供后续模块检测时使用, 但是一些特殊的元素,不会被列入list,如调用约定(__stdcall 此类 阅读全文
posted @ 2020-04-25 15:12 穷到底 阅读(1694) 评论(0) 推荐(1) 编辑

点击右上角即可分享
微信分享提示