随笔分类 - Windows驱动
摘要:荣耀,一个伟大的品牌,老大哥,厚道。 本文其实不长,只是对老大哥的一个赞扬。 重点说明: 一阴一阳之谓道。——《易传・系辞上》 道生一,一生二,二生三,三生万物。——《道德经》 人法地,地法天,天法道,道法自然。——《道德经》 人本身生于阴阳,阴阳二气同时存在,阴阳必然和合,孤阴不长,独阳不生。 结
阅读全文
摘要:快一年没更新了,累,工作累,各种累,想换个工作,突然发现找不到合适的工作了,哎,自己往火坑里跳,怪不得别人。 import idautils import idaapi import idc print("new ") #ea = idc.get_curline() #print(ea) # def
阅读全文
摘要:https://docs.microsoft.com/en-us/windows-hardware/drivers/debugger/javascript-debugger-scripting 主要命令就一个 .scriptrun D:\Debug\js_script\script.js 用 Win
阅读全文
摘要:花了一些时间,了解了一下ebpf 的功能、代码、for windows 使用, 看了一下相关的逻辑, 目前个人感觉是,不宜应用到我们自己的项目中, 以下所说”脚本“,均指”开发人员修改的规则文件,形式是gnuc 代码“。 优势:速度快,各种速度都快 开发:一套框架,直接用到死 修改规则:开发人员直接
阅读全文
摘要:我的这个库,太大了,而且接口定义不太合理,我希望改一改, 但是太大了,已经改不动了。 代码行数就4万多,头文件竟然38万行,里面至少也有好几万行是代码, 因为好多代码我都写在头文件中,然后内联了, 这套库是驱动库, 我是先写的这套驱动库,上层还有一套应用层库。 应用层的库,目前还很小 我希望把两套库
阅读全文
摘要:只要获取指定的内核文件, 根据内核文件下载到指定的pdb, 然后通过工具(或者自写代码)导出pdb内的结构体,就可以直接用了, 程序内部组织两套结构体处理函数, 第一套: 程序内置若干常用的版本结构体 在系统初始化的时候,处理系统版本, 如果记录已经内置了结构体, 那么就设置标识, 1:已经内置了结
阅读全文
摘要:1 aS ufLinkS "<u><col fg=\\\"emphfg\\\"><link name=\\\"%p\\\" cmd=\\\"uf 0x%p\\\">"; 2 aS ufLinkE "</link></col></u>"; 3 4 r $t1 = nt!KeServiceDescrip
阅读全文
摘要:1 aS ufLinkS "<u><col fg=\\\"emphfg\\\"><link name=\\\"%p\\\" cmd=\\\"uf 0x%p\\\">"; 2 aS ufLinkE "</link></col></u>"; 3 4 r $t1 = nt!KeServiceDescrip
阅读全文
摘要:x86 环境下,从PEB里面取进程路径,如果进程名字包含 123 那么断下来,这里使用的是宽字符字符串。 bp 84ad4b7a "as /mu $Name poi(poi($peb + 0x10) + 0x038 + 4);.block{.if($spat(\"${$Name}\",\"*123*
阅读全文
摘要:在 !peb 的返回结果中,查找 taskhost.exe ,找到了就输出 .shell -ci "!peb" find /I "taskhost.exe" 其实没太大用处,就是看内容用的
阅读全文
摘要:网页竟然打不开了,赶快存下来,没准哪天用得到 下表列出了系统提供的安全引用支持例程的子集,这些例程可由内核模式文件系统和微筛选器和旧筛选器驱动程序(而不是设备驱动程序)使用。 除了此处所述的例程,文件系统和筛选器驱动程序还可以调用ntifs中声明的内核模式驱动程序体系结构参考部分中所述的任何Se_X
阅读全文
摘要:https://github.com/276793422/MicrosoftSymbolServerProxy 去下载吧 由于我在工作中,不定时地需要使用微软的调试工具——Windbg。 不定期地需要通过它来下载微软的符号。 但是近期出现了一个问题,就是微软的符号服务器无法连接了。是因为微软符号服务
阅读全文
摘要:情况是这样的。 昨天,我得到了一个dump,这个dump是个full dump, 是一个系统蓝屏后的完全内存转储。 产品怀疑是我们的驱动导致出现了问题, 但是我们就不这么认为,所以就开始分析dump, 经过简单地查看调用栈,我们初步确认不是我们的问题。 但是如果要细挖细节的话,问题就来了, 我们只有
阅读全文
摘要:最近在做一个项目,然后出现了一个需求,就是需要使用C++ 开发软件,然后内置集成一个lua引擎, lua引擎调用C++ 的接口,通过脚本来实现一些内置的功能。 我之前的做法是自己做适配层,自己来处理接口相关的事情。 然后通过插件的方式导出接口,最后自己来处理接口,自己来调用。 但是有个问题就是,我每
阅读全文
摘要:外面没啥好说的, 里面其实也简单, 设置好 bcdedit.exe -set loadoptions DDISABLE_INTEGRITY_CHECKS 然后设置好 msconfig 然后设置好串口输出,就完事了。 很简单 主要是bcdedit 这个关闭驱动签名验证的这个命令不好记。
阅读全文
摘要:我个人从2018年初开始,直到现在,一直在完善一个基于Windows平台的驱动库, 这个库的主要功能是,为R0层各种API提供了一个使用起来更简易的接口,类似于为R0层函数提供了一个适配层,供开发者使用。 整体结构如图吧,即,开发者在编写驱动的时候,通常是要使用微软 DDK、WDK 接口来开发驱动的
阅读全文
摘要:其实没那么复杂 cmd 输入 msconfig 然后根据配置点两个勾就好了, 还得bcdedit,太费劲。。。
阅读全文
摘要:经过半天的分析和了解,大致明白了这个工具的使用方法和原理。 这个工具,会将一个源文件(目前我是用单一源文件测试的,没有使用目录测试), 每一个有效符号或者元素都解析出来,之后储存在一个大list里面,供后续模块检测时使用, 但是一些特殊的元素,不会被列入list,如调用约定(__stdcall 此类
阅读全文