随笔分类 - API
摘要:首先查询MSDN,可以清楚地看到 位于kernel32 dll 里面。 有目标就好办,找到这个dll,然后,开工,进入IDA。 跳啊 就到下面那块了。 遗憾的是。。。显然不是这里阿,实际上下一块调用的地方是kernelbase里面 这里才对,代码非常少。 下面那块是在取进程主模块基址, 就是这里 m
阅读全文
摘要:https://technet.microsoft.com/en-us/sysinternals/bb897447.aspx http://www.rohitab.com/discuss/topic/39956-my-first-native-application/ 以前没注意过这里。 HKLM\
阅读全文
摘要:从R3 ,到磁盘 1:kernel32 WriteFile 1) 挺惊讶的,符号好使了, 前面大概4条判断,根据句柄判断要写到什么地方,一共有4个地方可能要去, stdin stdout stderr 还有最后一个 控制台 2)然后就是一个异步的判断 如果是异步,那么整理信息,然后调用NtWrite
阅读全文
摘要:学习写驱动,其实,挺无聊,但是也挺有意思的 IoGetTopLevelIrp 今天在看一个文件系统过滤驱动的时候,看到这个函数,它是干嘛的,为什么会有这么个东西 https://msdn.microsoft.com/library/windows/hardware/ff548405 MSDN果真古之
阅读全文
摘要:Windows 进程创建完整过程(除去细节) 当前流程是分析WinXP x86得到的,在最新版本Windows上不一定正确,但是可以做一个参考, 由于我这里符号并不全,所以导致我这里有些东西看到的可能是错误的,误导了我,然后我就做了个错误的记录, 有缘人如果看到的话,可以帮我指正一下,我会很高兴。
阅读全文