摘要:
创建窗口 .386 .model flat,stdcall option casemap:none;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>&g 阅读全文
摘要:
条件语句.if 条件表达式1 表达式1为“真”时执行的指令[.elseif 条件表达式2] 表达式2为“真”时执行的指令[.elseif 条件表达式3] 表达式3为“真”时执行的指令[.else] 所有表达式为“否”时执行的指令.endif循环语句.while 条件测试表达式 指令 [.break [.if 退出条件]] [.continue].endw或.repeat 指令 [.break [.if 退出条件]] [.continue] .until 条件测试表达式(或.untilcxz [条件测试表达式]) 阅读全文
摘要:
基础结构.386.model flat,stdcalloption casemap:none .stack [堆栈段的大小].data .data? .const .code end 开始标号;这里是注释 分行的办法是在一行的最后用反斜杠(\)做换行符变量定义初始值放.data 未初始值.data? ;定义在 .data?段中不会增大 .exe文件的大小表3.2 变量的类型名 称 表示方式 缩 写 长度(字节)字节bytedb1字worddw2双字(doubleword)dworddd4三字(farword)fworddf6四字(quadword)qworddq8十字节... 阅读全文
摘要:
防止出错直接蓝屏 阅读全文
摘要:
原文 http://blog.sina.com.cn/s/blog_5371d2790100d2fg.html这是《subverting windows kernel》中API hook的一个例子,实现的功能就是进程隐藏。 实现机制:系统通过调用ZwQuerySystemInformation函数实现系统信息的查询,比如Taskmgr.exe使用该函数列举系统中运行的进程。通过Hook该函数并进行修改,对查询结果进行操作,从而实现进程隐藏。具体代码+分析:代码结构:四部分。第一部分:变量、宏、数据结构、函数原型等的声明 第二部分:NewZwQuerySystemInformation函数体 第 阅读全文
摘要:
获取当前进程名winDbg查看结构分页与非分页分配内核内存 阅读全文
摘要:
入口函数/************************************************************************* 函数名称:DriverEntry* 功能描述:初始化驱动程序,定位和申请硬件资源,创建内核对象* 参数列表: pDriverObject:从I/O管理器中传进来的驱动对象 pRegistryPath:驱动程序在注册表的中的路径* 返回 值:返回初始化驱动状态*************************************************************************/#pragma ... 阅读全文
摘要:
DIRVER_OBJETtypedef struct{PDEVICE_OBJECT DeviceObject;//驱动程序创建的设备对象。调用IoCreateDevice的时候会自动赋予正确的设备对象指针。PUNICODE_STRING HardwareDatabase;//设备的硬件数据库名(Unicode字符串)。一般为HKEY_LOCAL_MACHINE\Hardware\DESCRIPTION\System,是一个注册表路径PFAST_IO_DISPATCH FastIoDispatch;//文件驱动中用到的派遣函数。指向这个驱动程序的FastIO入口点定义的一个结构。这个成员只能通过 阅读全文
摘要:
手动加载代码加载(win32)/*安装驱动程序流程: 1、调用OpenSCManager()打开服务控制管理器 2、调用CreateService()创建一个服务,服务类型为内核驱动 3、调用OpenService()取得服务句柄 启动服务 4、调用StartService()启动服务 停止服务 4、调用ControlService()停止服务 删除服务 4、调用DeleteService()删除服务 5、调用CloseServiceHandle()关闭服务句柄操作驱动程序流程: 1、调用CreateFile()取得设备句柄 2、调用DeviceIoControl()传递I/O控... 阅读全文
只有注册用户登录后才能阅读该文。 阅读全文