随笔分类 - Windows驱动
摘要:FltRegisterFilter 注册过滤器 FltStartFiltering 开始过滤 InstatanceSetupCallback 实例安装回调 .当一个微过滤器加载的时候,每个存在的卷都会导致这个调用。.当一个新的卷被mount..当FltAttachVolume被调用(内核模式).当F
阅读全文
摘要:FLTFL_OPERATION_REGISTRATION_SKIP_PAGING_IO 商用软件一定要过滤掉这个类型的请求,这个类型的请求响应非常慢。 FLTFL_OPERATION_REGISTRATION_SKIP_PAGING_IO
阅读全文
摘要:https://en.wikipedia.org/wiki/Win32_Thread_Information_Block 这是重点 herein: FS:[0x124] 4 NT Pointer to KTHREAD (ETHREAD) structure
阅读全文
摘要:.reload D:\111\222.dll=Base,DllLen
阅读全文
摘要:很久很久以前用到的方法, 方法挺笨的,但是算是比较实用吧。 全自动的调试dmp,最后只要结果。 谁用得着就给谁看吧。 这里需要两个脚本1:启动脚本,是一个批处理文件,用来启动调试器,来加载dmp和调试脚本。2:调试脚本,是一个windbg脚本文件,用来操作调试器,是真正工作的脚本。现在开始说明脚本内
阅读全文
摘要:1:使用 !process 0 0 察看所有 EPROCESS2:使用.process /p + 需要断的应用程序的EProcess地址,切换到应用程序的地址空间 例如:.process /p 0x80a02a603:重新加载user PDB文件 .reload /f /user4:使用非侵入式的切
阅读全文
摘要:其实,道理上说,的确,创建一个文件,是要有打开文件的这个过程的,但是不知道为什么,我这里根本拦截不到打开文件的这个过程。举个例子,前面初始化了Minifilter,然后注册了两个回调,进程创建回调和镜像加载回调红色部分为进程创建回调,其实进程创建回调被触发的时候,第一个镜像就已经被加载起来了,但是我...
阅读全文
摘要:(此方案完全可行,只是我忘掉了一步)虽然Vista之后版本有进程创建回调函数的Ex版,而且Ex版可以拦截进程创建,但是由于在Ex版回调函数内用第三个参数的最后一个元素来阻止进程创建的话,可能会出现弹框,所以不安全,所以这个方案可行性不高。(这里说的不安全,是说可以被用户层看到这个弹框,可以被发现,处...
阅读全文
摘要:自己验证的环境WinXP SP3 x86进程创建回调 进程被影射进内存之后,仅仅是被影射进来之后。 也就是进程内部空间的修改可能会修改到应用程序文件。 这时有一条线程存在,但是没有被运行,也就是说,主线程存在,但是还没有执行到exe 的 oep。 这时可以做的操作不多, 可以插入APC,但...
阅读全文
摘要:提示IRQL级别不够,停机码是 A但是第二个参数竟然给我的是 FF 。。结果,昨晚我郁闷半宿,电脑这是给我开什么玩笑。。。我得啥水平写出的代码 IRQL 超过了 FF 。。。受不了。今天又来了。 ...
阅读全文
摘要:#pragma alloc_text(INIT, DriverEntry)#pragma alloc_text(PAGE, DispatchFun)#pragma alloc_text(PAGE, UnLoad) ...
阅读全文
摘要:看到了一些希望,就值得我继续执着下去。虽然是很简单的一个小驱动,但是它包含了我学编程两年来的憧憬与努力。。。在2011年5月份,我就想学驱动,但是多次的失败,让我很不耐烦,所以暂时搁置了。。。。到了2011年10月份,我抓回驱动,又重新开始学,我有了自己的C++的VS2008加WDK7的模板,虽然感...
阅读全文
摘要:写得乱七八糟。看着自己写的代码,感觉都不像自己了。我写的代码,风格这么差了么?思路这么乱了么?我写代码这么累么?不像以前的我了。。。这段时间,太懒散了。。。该继续努力了。。。再写一个定时器或者互斥体、信号量之类的什么类,争取找回以前写代码的感觉。
阅读全文
摘要:原来感觉一样是那么爽阿。。。快乐得不得了。。。
阅读全文
