WinDbg调试流程的学习及对TP反调试的探索

基础知识推荐阅读《软件调试》的第十八章 内核调试引擎

我在里直接总结一下内核调试引擎的几个关键标志位,也是TP进行反调试检测的关键位。

KdPitchDebugger : Boolean 用来表示是否显示的抑制内核调试, 当启动项中包含 /NODEBUG选项时,这个变量会被置为 TRUE

KdDebuggerEnabled : Boolean 用来表示内核调试是否被启用。当启动项中包含 /DEBUG 或者/ DEBUGPORT 而且不包含/NODEBUG时,这个变量置为TRUE

kiDebugRoutine : 函数指针类型 ,用来记录内核调试引擎的异常处理回调函数,当内核调试引擎活动时,指向KdpTrap函数,否则指向KdpStub函数

KdpBreakpointTable : 结构体数组类型,用来记录代码断点。每一个元素为BREAKPOINT_ENTRY结构,用来描述一个断点,包括断点地址。

 

然后开始动手,打开Windbg,调试虚拟机(Win7 x86 sp1) Ctrl+Break 断下来,输入k 命令观察断点的栈回溯,观察到最后的几个函数:

KeUpdateRunTime-->àKdCheckForDebugBreak--->àRtlpBreakWithStatusInstruction.  

WinDbg调试流程的学习及对TP反调试的探索_第1张图片

 

用ida 反汇编查看KeUpdateRunTime函数,看到对KdDebuggerEnabled标识位的检测,如果为0则直接返回,不对KdCheckForDebugBreak函数进行调用。

WinDbg调试流程的学习及对TP反调试的探索_第2张图片

然后继续反汇编KdCheckForDebugBreak函数,可以看到最KdDebuggerEnabled和 KdPitchDebugger的检测

WinDbg调试流程的学习及对TP反调试的探索_第3张图片

可以看到调用了KdPollBreakIn() 函数,我们继续跟进kdPollBreakIn()函数,可以看到主要也是对KdPitchDebugger和KdDebuggerEnabled的检测,如果为0就直接退出,返回0

WinDbg调试流程的学习及对TP反调试的探索_第4张图片

WinDbg调试流程的学习及对TP反调试的探索_第5张图片

接着跟入DbgBreakPointWithStatus() 函数可以发现并没有做什么处理,直接向下执行RtlpBreakWithStatusInstruction()   可以看到我们的int 3 ,俗称CC断点

WinDbg调试流程的学习及对TP反调试的探索_第6张图片

 

对KdDebuggerEnabled进行检测的函数有:

KdUpdateRunTime

KdCheckForDebugBreak

kdPollBreakIn

 

对KdPitchDubbger进行检测的函数:

KdCheckForDebugBreak

KdPollBreakIn

 大致的思路如下:

我们要做的就是把这几个全局变量置换成未调试时的状态,但是在Windows自己的调试引擎中检测的几个全局变量替换成我们自己的全局变量,而且对于TP的TenSa**.sys可以查看导入表,存在IoAllocMdl(),猜测TP对于几个全局变量的访问应该是采用MDL的方式来访问,可以考虑hook掉 IoAllocMdl这个函数,让他检测到其他地方。

然后就是针对TP不停的调用KdDisableDebugger来反调试的问题,直接hook掉KdDisableDebugger,让其直接返回。

还有处理关于kiDebugRoutine 的问题,当内核调试引擎处于活动的时候,KiDebugRoutine这个函数指针是指向的KdpTrap,来处理我们调试是产生的异常,当我们将KiDebugRoutine指向了KdpStub之后,可以绕过对KiDebugRoutine的检测,但是内核调试引擎来处理我们触发的异常时,调用的不是KdpTrap,而变成了KdpStub,很显然不能继续进项调试,所以我们还需要做的一项工作就是hook KdpTrap,让他跳转到KdpTrap,这个内核引擎可以正常工作,也可以绕过TP的检测。

 

下面可以利用WinDbg对这个手动对这几个全局变量进行简单的处理。

kd> dd KdPitchDebugger
80546efc  00000000 00000000 00000000 00000000

kd> dd KdDebuggerEnabled
8054d4c1  01000001 00000000 00000000 01000000

kd> dd kiDebugRoutine
80553f04  80661a06 00000000 7c92e4a8 7c92e45c


kd> u 80661a06 
nt!KdpTrap:
80661a06 8bff            mov      edi,edi
80661a08 55              push     ebp
80661a09 8bec            mov     ebp,esp
80661a0b 51              push     ecx
80661a0c 51              push     ecx
80661a0d 8b4510          mov     eax,dword ptr [ebp+10h]
80661a10 813803000080    cmp     dword ptr [eax],80000003h
80661a16 56              push     esi
先将KdPitchDebugger 置为1
kd> ed KdPitchDebugger 1

kd> dd KdPitchDebugger
80546efc  00000001 00000000 00000000 00000000

然后设置KiDebugRoutine 指向的指针 从KdpTrap 改成 KdpStub 
kd> dd KiDebugRoutine
80553f04  80661a06 00000000 7c92e4a8 7c92e45c

kd> u 80661a06 
nt!KdpTrap:
80661a06 8bff            mov     edi,edi
80661a08 55              push    ebp
80661a09 8bec            mov     ebp,esp
80661a0b 51              push    ecx
80661a0c 51              push    ecx
80661a0d 8b4510          mov     eax,dword ptr [ebp+10h]
80661a10 813803000080    cmp     dword ptr [eax],80000003h
80661a16 56              push    esi


kd> u KdpStub
nt!KdpStub:
804f7c76 8bff            mov     edi,edi
804f7c78 55              push    ebp
804f7c79 8bec            mov     ebp,esp
804f7c7b 8b4510          mov     eax,dword ptr [ebp+10h]
804f7c7e 813803000080    cmp     dword ptr [eax],80000003h
804f7c84 7525            jne     nt!KdpStub+0x35 (804f7cab)
804f7c86 83781000        cmp     dword ptr [eax+10h],0
804f7c8a 761f            jbe     nt!KdpStub+0x35 (804f7cab)


kd> ed KiDebugRoutine 804f7c76
kd> dd KiDebugRoutine
80553f04  804f7c76 00000000 7c92e4a8 7c92e45c

最后恢复KdDebuggerEnabled 为 0
kd> ed KdDebuggerEnabled 0

现在会发生什么,对,就是WinDbg接受不到调试消息包了,就是因为KdDebuggerEnabled 置为0 了,内核调试引擎在关键校验的地方不通过,不发送调试信息。

然后就是代码上的问题,完成上诉的功能就可以达到双机调试TP了。下面放出代码,就是按照上诉的思路来解决的,因为一些函数的定位和关键值的确定都是采用的针对的Win 7 Ultimate x86 sp1硬编码,如果想过其他的系统就要改改硬编码了,而且TP经常的更新,掌握了原理才是正道,强烈推荐《软件调试》这本书。

 

 

#ifndef CXX_TPWDG_H
#define CXX_TPWDG_H


#include <ntifs.h>
#include <devioctl.h>
#include <ntimage.h>

#define kmalloc(_s)    ExAllocatePoolWithTag(NonPagedPool, _s, 'Lanren')
#define OP_NONE 0x00
#define OP_MODRM 0x01
#define OP_DATA_I8 0x02
#define OP_DATA_I16 0x04
#define OP_DATA_I32 0x08
#define OP_DATA_PRE66_67 0x10
#define OP_WORD 0x20
#define OP_REL32 0x40
#define SystemModuleInformation 11

typedef unsigned char BYTE;
typedef BYTE *PBYTE;

typedef struct _SYSTEM_MODULE_INFORMATION//系统模块信息
{
    ULONG Reserved[2];
    ULONG Base;
    ULONG Size;
    ULONG Flags;
    USHORT Index;
    USHORT Unknown;
    USHORT LoadCount;
    USHORT ModuleNameOffset;
    CHAR ImageName[256];
} SYSTEM_MODULE_INFORMATION, *PSYSTEM_MODULE_INFORMATION;

typedef struct _tagSysModuleList//模块链结构
{
    ULONG ulCount;
    SYSTEM_MODULE_INFORMATION smi[1];
}MODULES, *PMODULES;


NTSTATUS __stdcall ZwQuerySystemInformation(
    ULONG_PTR SystemInformationClass,
    PVOID SystemInformation,
    ULONG SystemInformationLength,
    PULONG ReturnLength
    );

typedef PMDL(__stdcall *_MyIoAllocateMdl)(
    PVOID VirtualAddress,
    ULONG Length,
    BOOLEAN SecondaryBuffer,
    BOOLEAN ChargeQuota,
    PIRP Irp
    );


SIZE_T GetKdEnteredDebuggerAddr();

PMDL MyIoAllocateMdl(PVOID VirtualAddress,ULONG Length,
    BOOLEAN SecondaryBuffer,BOOLEAN ChargeQuota,
    PIRP Irp
    );

unsigned long __fastcall SizeOfCode(void *Code, unsigned char **pOpcode);
unsigned long GetPatchSize(void *Proc, unsigned long dwNeedSize);
VOID WpOffAndToDpcLevel();
VOID WpOn();
VOID WritableClose();
VOID InlineHookEngine(ULONG uHookPoint, ULONG uNewFuncAddr);

VOID UnInlineHookEngine(ULONG uHookPoint, char* pCode, ULONG uLength);
NTSTATUS WriteKernelMemory(PVOID Address, ULONG Size, PVOID InBuffer);
void Hook(PVOID Func, PVOID New_Func, PVOID Proxy_Func);
void UnHook(PVOID Func, PVOID Proxy_Func);
void HookIoAllocMdl(BOOLEAN bEnble);
VOID LoadImageRoutine(
    IN PUNICODE_STRING FullImageName,
    IN HANDLE ProcessId,//where image is mapped
    IN PIMAGE_INFO ImageInfo
    );
ULONG FindCharacteristicCode(ULONG uAddr, char* pCode, ULONG uLength);
VOID GetKdpStubAddr(ULONG uStartSearchAddr);
VOID GetKdpTrapAddr(ULONG uStartSearchAddr);
VOID GetKdDebuggerEnabledAddr(ULONG uStartSearchAddr);
ULONG GetFuncAddrFromName(IN PCWSTR FunctionName);
VOID DriverUnload(PDRIVER_OBJECT pDriverObject);
void WPOFF();
void WPON();
PVOID GetFuncAddress(LPWSTR lpFuncName);
ULONG_PTR GetKeUpdateSystemTimeAddr();
ULONG_PTR GetKdCheckForDebugBreak();
ULONG_PTR GetKdDebuggerEnabled_1();
ULONG_PTR GetKdDebuggerEnabled_2();
ULONG_PTR GetKdDebuggerEnabled_3();
ULONG_PTR GetKdDebuggerEnabled_4();
ULONG_PTR GetKdPitchDebugger_1();
ULONG_PTR GetKdPitchDebugger_2();
void MoveGlobal();
void RecoverGlobal();

#endif    






//全局变量
static KIRQL OldIrql;
ULONG ulKdpStub, ulKdpTrap;
ULONG ulKdDisableDebugger;
ULONG ulKdDisableDebuggerWithLock;
ULONG ulKdInitSystem;
ULONG ulKiDebugRoutine;
ULONG ulKeEnterKernelDebugger;
ULONG ulKdDebuggerEnabled;
extern SIZE_T KdEnteredDebugger;
_MyIoAllocateMdl OldIoAllocateMdl;
UCHAR OpcodeFlags[256] = 
{
    OP_MODRM,                      // 00
    OP_MODRM,                      // 01
    OP_MODRM,                      // 02
    OP_MODRM,                      // 03
    OP_DATA_I8,                    // 04
    OP_DATA_PRE66_67,              // 05
    OP_NONE,                       // 06
    OP_NONE,                       // 07
    OP_MODRM,                      // 08
    OP_MODRM,                      // 09
    OP_MODRM,                      // 0A
    OP_MODRM,                      // 0B
    OP_DATA_I8,                    // 0C
    OP_DATA_PRE66_67,              // 0D
    OP_NONE,                       // 0E
    OP_NONE,                       // 0F
    OP_MODRM,                      // 10
    OP_MODRM,                      // 11
    OP_MODRM,                      // 12
    OP_MODRM,                      // 13
    OP_DATA_I8,                    // 14
    OP_DATA_PRE66_67,              // 15
    OP_NONE,                       // 16
    OP_NONE,                       // 17
    OP_MODRM,                      // 18
    OP_MODRM,                      // 19
    OP_MODRM,                      // 1A
    OP_MODRM,                      // 1B
    OP_DATA_I8,                    // 1C
    OP_DATA_PRE66_67,              // 1D
    OP_NONE,                       // 1E
    OP_NONE,                       // 1F
    OP_MODRM,                      // 20
    OP_MODRM,                      // 21
    OP_MODRM,                      // 22
    OP_MODRM,                      // 23
    OP_DATA_I8,                    // 24
    OP_DATA_PRE66_67,              // 25
    OP_NONE,                       // 26
    OP_NONE,                       // 27
    OP_MODRM,                      // 28
    OP_MODRM,                      // 29
    OP_MODRM,                      // 2A
    OP_MODRM,                      // 2B
    OP_DATA_I8,                    // 2C
    OP_DATA_PRE66_67,              // 2D
    OP_NONE,                       // 2E
    OP_NONE,                       // 2F
    OP_MODRM,                      // 30
    OP_MODRM,                      // 31
    OP_MODRM,                      // 32
    OP_MODRM,                      // 33
    OP_DATA_I8,                    // 34
    OP_DATA_PRE66_67,              // 35
    OP_NONE,                       // 36
    OP_NONE,                       // 37
    OP_MODRM,                      // 38
    OP_MODRM,                      // 39
    OP_MODRM,                      // 3A
    OP_MODRM,                      // 3B
    OP_DATA_I8,                    // 3C
    OP_DATA_PRE66_67,              // 3D
    OP_NONE,                       // 3E
    OP_NONE,                       // 3F
    OP_NONE,                       // 40
    OP_NONE,                       // 41
    OP_NONE,                       // 42
    OP_NONE,                       // 43
    OP_NONE,                       // 44
    OP_NONE,                       // 45
    OP_NONE,                       // 46
    OP_NONE,                       // 47
    OP_NONE,                       // 48
    OP_NONE,                       // 49
    OP_NONE,                       // 4A
    OP_NONE,                       // 4B
    OP_NONE,                       // 4C
    OP_NONE,                       // 4D
    OP_NONE,                       // 4E
    OP_NONE,                       // 4F
    OP_NONE,                       // 50
    OP_NONE,                       // 51
    OP_NONE,                       // 52
    OP_NONE,                       // 53
    OP_NONE,                       // 54
    OP_NONE,                       // 55
    OP_NONE,                       // 56
    OP_NONE,                       // 57
    OP_NONE,                       // 58
    OP_NONE,                       // 59
    OP_NONE,                       // 5A
    OP_NONE,                       // 5B
    OP_NONE,                       // 5C
    OP_NONE,                       // 5D
    OP_NONE,                       // 5E
    OP_NONE,                       // 5F
    OP_NONE,                       // 60
    OP_NONE,                       // 61
    OP_MODRM,                      // 62
    OP_MODRM,                      // 63
    OP_NONE,                       // 64
    OP_NONE,                       // 65
    OP_NONE,                       // 66
    OP_NONE,                       // 67
    OP_DATA_PRE66_67,              // 68
    OP_MODRM | OP_DATA_PRE66_67,   // 69
    OP_DATA_I8,                    // 6A
    OP_MODRM | OP_DATA_I8,         // 6B
    OP_NONE,                       // 6C
    OP_NONE,                       // 6D
    OP_NONE,                       // 6E
    OP_NONE,                       // 6F
    OP_DATA_I8,                    // 70
    OP_DATA_I8,                    // 71
    OP_DATA_I8,                    // 72
    OP_DATA_I8,                    // 73
    OP_DATA_I8,                    // 74
    OP_DATA_I8,                    // 75
    OP_DATA_I8,                    // 76
    OP_DATA_I8,                    // 77
    OP_DATA_I8,                    // 78
    OP_DATA_I8,                    // 79
    OP_DATA_I8,                    // 7A
    OP_DATA_I8,                    // 7B
    OP_DATA_I8,                    // 7C
    OP_DATA_I8,                    // 7D
    OP_DATA_I8,                    // 7E
    OP_DATA_I8,                    // 7F
    OP_MODRM | OP_DATA_I8,         // 80
    OP_MODRM | OP_DATA_PRE66_67,   // 81
    OP_MODRM | OP_DATA_I8,         // 82
    OP_MODRM | OP_DATA_I8,         // 83
    OP_MODRM,                      // 84
    OP_MODRM,                      // 85
    OP_MODRM,                      // 86
    OP_MODRM,                      // 87
    OP_MODRM,                      // 88
    OP_MODRM,                      // 89
    OP_MODRM,                      // 8A
    OP_MODRM,                      // 8B
    OP_MODRM,                      // 8C
    OP_MODRM,                      // 8D
    OP_MODRM,                      // 8E
    OP_MODRM,                      // 8F
    OP_NONE,                       // 90
    OP_NONE,                       // 91
    OP_NONE,                       // 92
    OP_NONE,                       // 93
    OP_NONE,                       // 94
    OP_NONE,                       // 95
    OP_NONE,                       // 96
    OP_NONE,                       // 97
    OP_NONE,                       // 98
    OP_NONE,                       // 99
    OP_DATA_I16 | OP_DATA_PRE66_67,// 9A
    OP_NONE,                       // 9B
    OP_NONE,                       // 9C
    OP_NONE,                       // 9D
    OP_NONE,                       // 9E
    OP_NONE,                       // 9F
    OP_DATA_PRE66_67,              // A0
    OP_DATA_PRE66_67,              // A1
    OP_DATA_PRE66_67,              // A2
    OP_DATA_PRE66_67,              // A3
    OP_NONE,                       // A4
    OP_NONE,                       // A5
    OP_NONE,                       // A6
    OP_NONE,                       // A7
    OP_DATA_I8,                    // A8
    OP_DATA_PRE66_67,              // A9
    OP_NONE,                       // AA
    OP_NONE,                       // AB
    OP_NONE,                       // AC
    OP_NONE,                       // AD
    OP_NONE,                       // AE
    OP_NONE,                       // AF
    OP_DATA_I8,                    // B0
    OP_DATA_I8,                    // B1
    OP_DATA_I8,                    // B2
    OP_DATA_I8,                    // B3
    OP_DATA_I8,                    // B4
    OP_DATA_I8,                    // B5
    OP_DATA_I8,                    // B6
    OP_DATA_I8,                    // B7
    OP_DATA_PRE66_67,              // B8
    OP_DATA_PRE66_67,              // B9
    OP_DATA_PRE66_67,              // BA
    OP_DATA_PRE66_67,              // BB
    OP_DATA_PRE66_67,              // BC
    OP_DATA_PRE66_67,              // BD
    OP_DATA_PRE66_67,              // BE
    OP_DATA_PRE66_67,              // BF
    OP_MODRM | OP_DATA_I8,         // C0
    OP_MODRM | OP_DATA_I8,         // C1
    OP_DATA_I16,                   // C2
    OP_NONE,                       // C3
    OP_MODRM,                      // C4
    OP_MODRM,                      // C5
    OP_MODRM   | OP_DATA_I8,       // C6
    OP_MODRM   | OP_DATA_PRE66_67, // C7
    OP_DATA_I8 | OP_DATA_I16,      // C8
    OP_NONE,                       // C9
    OP_DATA_I16,                   // CA
    OP_NONE,                       // CB
    OP_NONE,                       // CC
    OP_DATA_I8,                    // CD
    OP_NONE,                       // CE
    OP_NONE,                       // CF
    OP_MODRM,                      // D0
    OP_MODRM,                      // D1
    OP_MODRM,                      // D2
    OP_MODRM,                      // D3
    OP_DATA_I8,                    // D4
    OP_DATA_I8,                    // D5
    OP_NONE,                       // D6
    OP_NONE,                       // D7
    OP_WORD,                       // D8
    OP_WORD,                       // D9
    OP_WORD,                       // DA
    OP_WORD,                       // DB
    OP_WORD,                       // DC
    OP_WORD,                       // DD
    OP_WORD,                       // DE
    OP_WORD,                       // DF
    OP_DATA_I8,                    // E0
    OP_DATA_I8,                    // E1
    OP_DATA_I8,                    // E2
    OP_DATA_I8,                    // E3
    OP_DATA_I8,                    // E4
    OP_DATA_I8,                    // E5
    OP_DATA_I8,                    // E6
    OP_DATA_I8,                    // E7
    OP_DATA_PRE66_67 | OP_REL32,   // E8
    OP_DATA_PRE66_67 | OP_REL32,   // E9
    OP_DATA_I16 | OP_DATA_PRE66_67,// EA
    OP_DATA_I8,                    // EB
    OP_NONE,                       // EC
    OP_NONE,                       // ED
    OP_NONE,                       // EE
    OP_NONE,                       // EF
    OP_NONE,                       // F0
    OP_NONE,                       // F1
    OP_NONE,                       // F2
    OP_NONE,                       // F3
    OP_NONE,                       // F4
    OP_NONE,                       // F5
    OP_MODRM,                      // F6
    OP_MODRM,                      // F7
    OP_NONE,                       // F8
    OP_NONE,                       // F9
    OP_NONE,                       // FA
    OP_NONE,                       // FB
    OP_NONE,                       // FC
    OP_NONE,                       // FD
    OP_MODRM,                      // FE
    OP_MODRM | OP_REL32            // FF
};

UCHAR OpcodeFlagsExt[256] =
{
    OP_MODRM,                      // 00
    OP_MODRM,                      // 01
    OP_MODRM,                      // 02
    OP_MODRM,                      // 03
    OP_NONE,                       // 04
    OP_NONE,                       // 05
    OP_NONE,                       // 06
    OP_NONE,                       // 07
    OP_NONE,                       // 08
    OP_NONE,                       // 09
    OP_NONE,                       // 0A
    OP_NONE,                       // 0B
    OP_NONE,                       // 0C
    OP_MODRM,                      // 0D
    OP_NONE,                       // 0E
    OP_MODRM | OP_DATA_I8,         // 0F
    OP_MODRM,                      // 10
    OP_MODRM,                      // 11
    OP_MODRM,                      // 12
    OP_MODRM,                      // 13
    OP_MODRM,                      // 14
    OP_MODRM,                      // 15
    OP_MODRM,                      // 16
    OP_MODRM,                      // 17
    OP_MODRM,                      // 18
    OP_NONE,                       // 19
    OP_NONE,                       // 1A
    OP_NONE,                       // 1B
    OP_NONE,                       // 1C
    OP_NONE,                       // 1D
    OP_NONE,                       // 1E
    OP_NONE,                       // 1F
    OP_MODRM,                      // 20
    OP_MODRM,                      // 21
    OP_MODRM,                      // 22
    OP_MODRM,                      // 23
    OP_MODRM,                      // 24
    OP_NONE,                       // 25
    OP_MODRM,                      // 26
    OP_NONE,                       // 27
    OP_MODRM,                      // 28
    OP_MODRM,                      // 29
    OP_MODRM,                      // 2A
    OP_MODRM,                      // 2B
    OP_MODRM,                      // 2C
    OP_MODRM,                      // 2D
    OP_MODRM,                      // 2E
    OP_MODRM,                      // 2F
    OP_NONE,                       // 30
    OP_NONE,                       // 31
    OP_NONE,                       // 32
    OP_NONE,                       // 33
    OP_NONE,                       // 34
    OP_NONE,                       // 35
    OP_NONE,                       // 36
    OP_NONE,                       // 37
    OP_NONE,                       // 38
    OP_NONE,                       // 39
    OP_NONE,                       // 3A
    OP_NONE,                       // 3B
    OP_NONE,                       // 3C
    OP_NONE,                       // 3D
    OP_NONE,                       // 3E
    OP_NONE,                       // 3F
    OP_MODRM,                      // 40
    OP_MODRM,                      // 41
    OP_MODRM,                      // 42
    OP_MODRM,                      // 43
    OP_MODRM,                      // 44
    OP_MODRM,                      // 45
    OP_MODRM,                      // 46
    OP_MODRM,                      // 47
    OP_MODRM,                      // 48
    OP_MODRM,                      // 49
    OP_MODRM,                      // 4A
    OP_MODRM,                      // 4B
    OP_MODRM,                      // 4C
    OP_MODRM,                      // 4D
    OP_MODRM,                      // 4E
    OP_MODRM,                      // 4F
    OP_MODRM,                      // 50
    OP_MODRM,                      // 51
    OP_MODRM,                      // 52
    OP_MODRM,                      // 53
    OP_MODRM,                      // 54
    OP_MODRM,                      // 55
    OP_MODRM,                      // 56
    OP_MODRM,                      // 57
    OP_MODRM,                      // 58
    OP_MODRM,                      // 59
    OP_MODRM,                      // 5A
    OP_MODRM,                      // 5B
    OP_MODRM,                      // 5C
    OP_MODRM,                      // 5D
    OP_MODRM,                      // 5E
    OP_MODRM,                      // 5F
    OP_MODRM,                      // 60
    OP_MODRM,                      // 61
    OP_MODRM,                      // 62
    OP_MODRM,                      // 63
    OP_MODRM,                      // 64
    OP_MODRM,                      // 65
    OP_MODRM,                      // 66
    OP_MODRM,                      // 67
    OP_MODRM,                      // 68
    OP_MODRM,                      // 69
    OP_MODRM,                      // 6A
    OP_MODRM,                      // 6B
    OP_MODRM,                      // 6C
    OP_MODRM,                      // 6D
    OP_MODRM,                      // 6E
    OP_MODRM,                      // 6F
    OP_MODRM | OP_DATA_I8,         // 70
    OP_MODRM | OP_DATA_I8,         // 71
    OP_MODRM | OP_DATA_I8,         // 72
    OP_MODRM | OP_DATA_I8,         // 73
    OP_MODRM,                      // 74
    OP_MODRM,                      // 75
    OP_MODRM,                      // 76
    OP_NONE,                       // 77
    OP_NONE,                       // 78
    OP_NONE,                       // 79
    OP_NONE,                       // 7A
    OP_NONE,                       // 7B
    OP_MODRM,                      // 7C
    OP_MODRM,                      // 7D
    OP_MODRM,                      // 7E
    OP_MODRM,                      // 7F
    OP_DATA_PRE66_67 | OP_REL32,   // 80
    OP_DATA_PRE66_67 | OP_REL32,   // 81
    OP_DATA_PRE66_67 | OP_REL32,   // 82
    OP_DATA_PRE66_67 | OP_REL32,   // 83
    OP_DATA_PRE66_67 | OP_REL32,   // 84
    OP_DATA_PRE66_67 | OP_REL32,   // 85
    OP_DATA_PRE66_67 | OP_REL32,   // 86
    OP_DATA_PRE66_67 | OP_REL32,   // 87
    OP_DATA_PRE66_67 | OP_REL32,   // 88
    OP_DATA_PRE66_67 | OP_REL32,   // 89
    OP_DATA_PRE66_67 | OP_REL32,   // 8A
    OP_DATA_PRE66_67 | OP_REL32,   // 8B
    OP_DATA_PRE66_67 | OP_REL32,   // 8C
    OP_DATA_PRE66_67 | OP_REL32,   // 8D
    OP_DATA_PRE66_67 | OP_REL32,   // 8E
    OP_DATA_PRE66_67 | OP_REL32,   // 8F
    OP_MODRM,                      // 90
    OP_MODRM,                      // 91
    OP_MODRM,                      // 92
    OP_MODRM,                      // 93
    OP_MODRM,                      // 94
    OP_MODRM,                      // 95
    OP_MODRM,                      // 96
    OP_MODRM,                      // 97
    OP_MODRM,                      // 98
    OP_MODRM,                      // 99
    OP_MODRM,                      // 9A
    OP_MODRM,                      // 9B
    OP_MODRM,                      // 9C
    OP_MODRM,                      // 9D
    OP_MODRM,                      // 9E
    OP_MODRM,                      // 9F
    OP_NONE,                       // A0
    OP_NONE,                       // A1
    OP_NONE,                       // A2
    OP_MODRM,                      // A3
    OP_MODRM | OP_DATA_I8,         // A4
    OP_MODRM,                      // A5
    OP_NONE,                       // A6
    OP_NONE,                       // A7
    OP_NONE,                       // A8
    OP_NONE,                       // A9
    OP_NONE,                       // AA
    OP_MODRM,                      // AB
    OP_MODRM | OP_DATA_I8,         // AC
    OP_MODRM,                      // AD
    OP_MODRM,                      // AE
    OP_MODRM,                      // AF
    OP_MODRM,                      // B0
    OP_MODRM,                      // B1
    OP_MODRM,                      // B2
    OP_MODRM,                      // B3
    OP_MODRM,                      // B4
    OP_MODRM,                      // B5
    OP_MODRM,                      // B6
    OP_MODRM,                      // B7
    OP_NONE,                       // B8
    OP_NONE,                       // B9
    OP_MODRM | OP_DATA_I8,         // BA
    OP_MODRM,                      // BB
    OP_MODRM,                      // BC
    OP_MODRM,                      // BD
    OP_MODRM,                      // BE
    OP_MODRM,                      // BF
    OP_MODRM,                      // C0
    OP_MODRM,                      // C1
    OP_MODRM | OP_DATA_I8,         // C2
    OP_MODRM,                      // C3
    OP_MODRM | OP_DATA_I8,         // C4
    OP_MODRM | OP_DATA_I8,         // C5
    OP_MODRM | OP_DATA_I8,         // C6 
    OP_MODRM,                      // C7
    OP_NONE,                       // C8
    OP_NONE,                       // C9
    OP_NONE,                       // CA
    OP_NONE,                       // CB
    OP_NONE,                       // CC
    OP_NONE,                       // CD
    OP_NONE,                       // CE
    OP_NONE,                       // CF
    OP_MODRM,                      // D0
    OP_MODRM,                      // D1
    OP_MODRM,                      // D2
    OP_MODRM,                      // D3
    OP_MODRM,                      // D4
    OP_MODRM,                      // D5
    OP_MODRM,                      // D6
    OP_MODRM,                      // D7
    OP_MODRM,                      // D8
    OP_MODRM,                      // D9
    OP_MODRM,                      // DA
    OP_MODRM,                      // DB
    OP_MODRM,                      // DC
    OP_MODRM,                      // DD
    OP_MODRM,                      // DE
    OP_MODRM,                      // DF
    OP_MODRM,                      // E0
    OP_MODRM,                      // E1
    OP_MODRM,                      // E2
    OP_MODRM,                      // E3
    OP_MODRM,                      // E4
    OP_MODRM,                      // E5
    OP_MODRM,                      // E6
    OP_MODRM,                      // E7
    OP_MODRM,                      // E8
    OP_MODRM,                      // E9
    OP_MODRM,                      // EA
    OP_MODRM,                      // EB
    OP_MODRM,                      // EC
    OP_MODRM,                      // ED
    OP_MODRM,                      // EE
    OP_MODRM,                      // EF
    OP_MODRM,                      // F0
    OP_MODRM,                      // F1
    OP_MODRM,                      // F2
    OP_MODRM,                      // F3
    OP_MODRM,                      // F4
    OP_MODRM,                      // F5
    OP_MODRM,                      // F6
    OP_MODRM,                      // F7 
    OP_MODRM,                      // F8
    OP_MODRM,                      // F9
    OP_MODRM,                      // FA
    OP_MODRM,                      // FB
    OP_MODRM,                      // FC
    OP_MODRM,                      // FD
    OP_MODRM,                      // FE
    OP_NONE                        // FF
};


//1. KeUpdateSystemTime
//
//nt!KeUpdateSystemTime + 0x417:
//84096d65 33c9            xor     ecx, ecx
//84096d67 8d542420        lea     edx, [esp + 20h]
//
//nt!KeUpdateSystemTime + 0x41d :
//84096d6b 803d2c1d188400  cmp     byte ptr[nt!KdDebuggerEnabled(84181d2c)], 0        <--ul_KdDebuggerEnabled_1
//84096d72 7464            je      nt!KeUpdateSystemTime + 0x48a (84096dd8)
//
//
//2. KeUpdateRunTime
//
//nt!KeUpdateRunTime + 0x149:
//840970c2 803d2c1d188400  cmp     byte ptr[nt!KdDebuggerEnabled(84181d2c)], 0        <--ul_KdDebuggerEnabled_2
//840970c9 7412            je      nt!KeUpdateRunTime + 0x164 (840970dd)
//
//3. KdCheckForDebugBreak
//
//kd > uf kdcheckfordebugbreak
//nt!KdCheckForDebugBreak:
//840970e9 803d275d148400  cmp     byte ptr[nt!KdPitchDebugger(84145d27)], 0        <--ul_KdPitchDebugger_1
//840970f0 7519            jne     nt!KdCheckForDebugBreak + 0x22 (8409710b)
//
//nt!KdCheckForDebugBreak + 0x9 :
//840970f2 803d2c1d188400  cmp     byte ptr[nt!KdDebuggerEnabled(84181d2c)], 0        <--ul_KdDebuggerEnabled_3
//840970f9 7410            je      nt!KdCheckForDebugBreak + 0x22 (8409710b)
//
//
//4. KdPollBreakIn
//
//kd > uf KdPollBreakIn
//nt!KdPollBreakIn:
//8409711f 8bff            mov     edi, edi
//84097121 55              push    ebp
//84097122 8bec            mov     ebp, esp
//84097124 51              push    ecx
//84097125 53              push    ebx
//84097126 33db            xor     ebx, ebx
//84097128 381d275d1484    cmp     byte ptr[nt!KdPitchDebugger(84145d27)], bl        <--ul_KdPitchDebugger_2
//8409712e 7407            je      nt!KdPollBreakIn + 0x18 (84097137)
//
//nt!KdPollBreakIn + 0x11:
//84097130 32c0            xor     al, al
//84097132 e9d2000000      jmp     nt!KdPollBreakIn + 0xea (84097209)
//
//nt!KdPollBreakIn + 0x18 :
//84097137 885dff          mov     byte ptr[ebp - 1], bl
//8409713a 381d2c1d1884    cmp     byte ptr[nt!KdDebuggerEnabled(84181d2c)], bl        <--ul_KdDebuggerEnabled_4
//84097140 0f84c0000000    je      nt!KdPollBreakIn + 0xe7 (84097206)



ULONG_PTR ul_KeUpdateSystemTimeAssist;
ULONG_PTR ul_KeUpdateSystemTime;
ULONG_PTR ul_KeUpdateRunTime;
ULONG_PTR ul_KdCheckForDebugBreak;
ULONG_PTR ul_KdPollBreakIn;

//顺序按照上面注释的顺序
ULONG_PTR ul_KdDebuggerEnabled_1;
ULONG_PTR ul_KdDebuggerEnabled_2;
ULONG_PTR ul_KdDebuggerEnabled_3;
ULONG_PTR ul_KdDebuggerEnabled_4;

ULONG_PTR ul_KdPitchDebugger_1;
ULONG_PTR ul_KdPitchDebugger_2;



//用来保存原来内核变量地址
ULONG_PTR ul_oldKdDebuggerEnabled;
ULONG_PTR ul_oldKdPitchDebugger;

//自己定义的全局变量
BOOLEAN bool_myKdDebuggerEnabled = TRUE;
BOOLEAN bool_myKdPitchDebugger = FALSE;


NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject, PUNICODE_STRING pRegistryPath)
{
    NTSTATUS status;
    //转移内核变量
    MoveGlobal();
    //注册回调
    status = PsSetLoadImageNotifyRoutine(LoadImageRoutine);
    if (!NT_SUCCESS(status))
    {
        return status;
    }
    KdPrint(("注册回调函数成功!\n"));
    HookIoAllocMdl(TRUE);
    //获得KdDisableDebugger地址
    ulKdDisableDebugger = GetFuncAddrFromName(L"KdDisableDebugger");
    KdPrint(("ulKdDisableDebugger: 0x%08X\n", ulKdDisableDebugger));
    //计算KdDisableDebuggerWithLock地址
    ulKdDisableDebuggerWithLock = (ulKdDisableDebugger + 2) + *(ULONG*)(ulKdDisableDebugger + 3) + 5;
    KdPrint(("ulKdDisableDebuggerWithLock: 0x%08X\n",  ulKdDisableDebuggerWithLock));
    ulKeEnterKernelDebugger = GetFuncAddrFromName(L"KeEnterKernelDebugger");
    KdPrint(("ulKeEnterKernelDebugger: 0x%08X\n", ulKeEnterKernelDebugger));
    //函数内部搜索特征码
    GetKdpStubAddr(ulKdDisableDebuggerWithLock);
    GetKdpTrapAddr(ulKeEnterKernelDebugger);
    //Hook KdpStub头部直接跳转到KdpTrap
    InlineHookEngine(ulKdpStub, ulKdpTrap);
    GetKdDebuggerEnabledAddr(ulKeEnterKernelDebugger);
    //改写KdDisableDebugger头部直接返回
    WritableOpen();
    __asm
    {
        pushad
        pushfd
        mov eax, ulKdDisableDebugger
        mov byte ptr ds:[eax], 0x90//nop
        mov byte ptr ds:[eax + 0x1], 0xc3//ret
        popfd
        popad
    }

    //改写KdDebuggerEnabled为0
    __asm
    {
        pushad
        pushfd
        mov eax, ulKdDebuggerEnabled
        mov dword ptr ds:[eax], 0x0
        popfd
        popad
    }
    WritableClose();

    pDriverObject->DriverUnload = DriverUnload;

    return STATUS_SUCCESS;
}


SIZE_T GetKdEnteredDebuggerAddr()
{
    return KdEnteredDebugger;
}

PMDL MyIoAllocateMdl(
    PVOID VirtualAddress,
    ULONG Length,
    BOOLEAN SecondaryBuffer,
    BOOLEAN ChargeQuota,
    PIRP Irp
    )
{
    PVOID pKdEnteredDebugger;
    pKdEnteredDebugger = (PVOID)GetKdEnteredDebuggerAddr();

    if (pKdEnteredDebugger == VirtualAddress)
    {
        VirtualAddress = (PVOID)((SIZE_T)pKdEnteredDebugger + 0x4);//+0x4是让它读到其他的位置
    }

    return OldIoAllocateMdl(VirtualAddress, Length, SecondaryBuffer, ChargeQuota, Irp);
}


unsigned long __fastcall SizeOfCode(void *Code, unsigned char **pOpcode)
{
    PUCHAR cPtr;
    UCHAR Flags;
    BOOLEAN PFX66, PFX67;
    BOOLEAN SibPresent;
    UCHAR iMod, iRM, iReg;
    UCHAR OffsetSize, Add;
    UCHAR Opcode;

    OffsetSize = 0;
    PFX66 = FALSE;
    PFX67 = FALSE;
    cPtr = (PUCHAR)Code;

    while ((*cPtr == 0x2E) || (*cPtr == 0x3E) || (*cPtr == 0x36) ||
        (*cPtr == 0x26) || (*cPtr == 0x64) || (*cPtr == 0x65) || 
        (*cPtr == 0xF0) || (*cPtr == 0xF2) || (*cPtr == 0xF3) ||
        (*cPtr == 0x66) || (*cPtr == 0x67)) 
    {
        if (*cPtr == 0x66) PFX66 = TRUE;
        if (*cPtr == 0x67) PFX67 = TRUE;
        cPtr++;
        if (cPtr > (PUCHAR)Code + 16) return 0; 
    }
    Opcode = *cPtr;
    if (pOpcode) *pOpcode = cPtr; 
    if (*cPtr == 0x0F)
    {
        cPtr++;
        Flags = OpcodeFlagsExt[*cPtr];
    } else 
    {
        Flags = OpcodeFlags[Opcode];
        if (Opcode >= 0xA0 && Opcode <= 0xA3) PFX66 = PFX67;
    }
    cPtr++;
    if (Flags & OP_WORD) cPtr++;    
    if (Flags & OP_MODRM)
    {
        iMod = *cPtr >> 6;
        iReg = (*cPtr & 0x38) >> 3;  
        iRM  = *cPtr &  7;
        cPtr++;

        if ((Opcode == 0xF6) && !iReg) Flags |= OP_DATA_I8;    
        if ((Opcode == 0xF7) && !iReg) Flags |= OP_DATA_PRE66_67; 

        SibPresent = !PFX67 & (iRM == 4);
        switch (iMod)
        {
        case 0: 
            if ( PFX67 && (iRM == 6)) OffsetSize = 2;
            if (!PFX67 && (iRM == 5)) OffsetSize = 4; 
            break;
        case 1: OffsetSize = 1;
            break; 
        case 2: if (PFX67) OffsetSize = 2; else OffsetSize = 4;
            break;
        case 3: SibPresent = FALSE;
        }
        if (SibPresent)
        {
            if (((*cPtr & 7) == 5) && ( (!iMod) || (iMod == 2) )) OffsetSize = 4;
            cPtr++;
        }
        cPtr = (PUCHAR)(ULONG)cPtr + OffsetSize;
    }

    if (Flags & OP_DATA_I8) cPtr ++;
    if (Flags & OP_DATA_I16) cPtr += 2;
    if (Flags & OP_DATA_I32) cPtr += 4;
    if (PFX66) Add = 2;
    else Add = 4;
    if (Flags & OP_DATA_PRE66_67) cPtr += Add;
    return (ULONG)cPtr - (ULONG)Code;
}

unsigned long GetPatchSize(void *Proc, unsigned long dwNeedSize)
{
    ULONG Length;
    PUCHAR pOpcode;
    ULONG PatchSize = 0;

    do
    {
        Length = SizeOfCode(Proc, &pOpcode);
        if ((Length == 1) && (*pOpcode == 0xC3)) break;
        if ((Length == 3) && (*pOpcode == 0xC2)) break;
        Proc = (PVOID)((ULONG)Proc + Length);

        PatchSize += Length;
        if (PatchSize >= dwNeedSize)
        {
            break;
        }

    } while (Length);

    return PatchSize;
}

VOID WpOffAndToDpcLevel()
{
    OldIrql = KeRaiseIrqlToDpcLevel();
    __asm
    {
        cli
        push eax
        mov eax, cr0
        and eax, 0FFFEFFFFh
        mov cr0, eax
        pop eax
    }
}

VOID WpOn()
{
    __asm
    {
        push eax
        mov eax, cr0
        or eax, 10000h
        mov cr0, eax
        pop eax
        sti
    }
    KeLowerIrql(OldIrql);
}

VOID WritableOpen()
{
    __asm
    {
        cli
        mov eax, cr0
        and eax, not 0x10000
        mov cr0, eax
    }
}

VOID WritableClose()
{
    __asm
    {
        mov eax, cr0
        or eax, 0x10000
        mov cr0, eax
        sti
    }
}

VOID InlineHookEngine(ULONG uHookPoint, ULONG uNewFuncAddr)
{
    ULONG uJmp = uNewFuncAddr - uHookPoint - 5;

    WritableOpen();

    __asm
    {
        mov eax, uHookPoint
        mov byte ptr ds:[eax], 0xe9
        mov ebx, uJmp
        mov dword ptr ds:[eax + 0x1], ebx
    }

    WritableClose();
}

VOID UnInlineHookEngine(ULONG uHookPoint, char* pCode, ULONG uLength)
{
    WritableOpen();

    RtlCopyMemory((char*)uHookPoint, pCode, uLength);

    WritableClose();
}

NTSTATUS WriteKernelMemory(PVOID Address, ULONG Size, PVOID InBuffer)
{
    NTSTATUS st = STATUS_UNSUCCESSFUL;
    PMDL pMdl = 0;
    PVOID pAddress = 0;
    KSPIN_LOCK spinlock;
    KIRQL oldirql;

    if (!Address) return st;
    pMdl = IoAllocateMdl(Address, Size, FALSE, FALSE, 0);
    if (pMdl)
    {
        MmBuildMdlForNonPagedPool(pMdl);
        pAddress = MmGetSystemAddressForMdlSafe(pMdl, NormalPagePriority);
        KdPrint(("pAddress: 0x%08x\n", pAddress));
        if (pAddress)
        {
            __try
            {
                KeInitializeSpinLock(&spinlock);
                KeAcquireSpinLock(&spinlock, &oldirql);
                WpOffAndToDpcLevel();
                RtlCopyMemory(pAddress, InBuffer, Size);
                WpOn();
                KeReleaseSpinLock(&spinlock, oldirql);
                st = STATUS_SUCCESS;
            }
            __except (EXCEPTION_EXECUTE_HANDLER)
            {
            }
        }
        IoFreeMdl(pMdl);
    }
    return st;
}

void Hook(PVOID Func, PVOID New_Func, PVOID Proxy_Func)
{
    ULONG PatchSize;
    BYTE g_HookCode[5] = {0xe9, 0, 0, 0, 0};//相对跳转
    BYTE Jmp_Orig_Code[7] = {0xea, 0, 0, 0, 0, 0x08, 0x00};//绝对地址跳转
    PatchSize = GetPatchSize(Func, 5);//获得要Patch的字节数 
    //构造Proxy_Func
    memcpy((PBYTE)Proxy_Func, (PBYTE)Func, PatchSize);//实现原函数头
    *((PULONG)(Jmp_Orig_Code + 1)) = (ULONG)((PBYTE)Func + PatchSize);//原函数+N地址
    memcpy((PBYTE)Proxy_Func + PatchSize, Jmp_Orig_Code, 7);//绝对地址跳转
    *((ULONG*)(g_HookCode + 1)) = (ULONG)New_Func - (ULONG)Func - 5;//计算JMP地址
    WriteKernelMemory(Func, 5, g_HookCode);
}

//UnHook函数
void UnHook(PVOID Func, PVOID Proxy_Func)
{
    WriteKernelMemory(Func, 5, Proxy_Func);
}

void HookIoAllocMdl(BOOLEAN bEnble)
{
    if (bEnble == TRUE)
    {
        OldIoAllocateMdl = kmalloc(20);
        memset(OldIoAllocateMdl, 0x90, 20);
        Hook(IoAllocateMdl, MyIoAllocateMdl, (PVOID)OldIoAllocateMdl);
        DbgPrint("IoAllocateMdl hooked!\n");
    }
    else
    {
        UnHook(IoAllocateMdl, OldIoAllocateMdl);
        ExFreePool(OldIoAllocateMdl);
        DbgPrint("IoAllocateMdl unhooked!\n");
    }
}

//模块加载回调函数例程
VOID LoadImageRoutine(
    IN PUNICODE_STRING FullImageName,
    IN HANDLE ProcessId,//where image is mapped
    IN PIMAGE_INFO ImageInfo
    )
{
    UNREFERENCED_PARAMETER(ProcessId);
    if (wcsstr(FullImageName->Buffer, L"TesSafe.sys") != NULL)
    {
        KdPrint(("TesSafe.sys Loaded!\n"));
        KdPrint(("TesSafe.sys ImageBase: 0x%08X\n", (ULONG)ImageInfo->ImageBase));
        KdPrint(("TesSafe.sys ImageSize: 0x%08X\n", (ULONG)ImageInfo->ImageSize));
        KdPrint(("断点命令: ba e 1 0x%08X\n", (ULONG)ImageInfo->ImageBase));

        //KdBreakPoint();
    }
    return;
}

ULONG FindCharacteristicCode(ULONG uAddr, char* pCode, ULONG uLength)
{
    char szTemp[256];
    ULONG i = 5000;

    while(i --)
    {
        RtlMoveMemory(szTemp, (char*)uAddr, uLength);

        if (RtlCompareMemory(pCode, szTemp, uLength) == uLength)
        {
            return uAddr;
        }

        uAddr ++;
    }

    return 0;
}

VOID GetKdpStubAddr(ULONG uStartSearchAddr)
{
    /*
    kd> u KdDisableDebugger
    nt!KdDisableDebugger:
    83f32846 6a01            push    1
    83f32848 e806ffffff      call    nt!KdDisableDebuggerWithLock (83f32753)
    83f3284d c3              ret

    kd> 
    nt!KdDisableDebuggerWithLock+0x68:
    83f1b7bb 8b0d6c89fa83    mov     ecx,dword ptr [nt!KeNumberProcessors (83fa896c)]
    83f1b7c1 33c0            xor     eax,eax
    83f1b7c3 85c9            test    ecx,ecx
    83f1b7c5 761a            jbe     nt!KdDisableDebuggerWithLock+0x8e (83f1b7e1)
    83f1b7c7 8b0c85c088fa83  mov     ecx,dword ptr nt!KiProcessorBlock (83fa88c0)[eax*4]
    83f1b7ce 389908030000    cmp     byte ptr [ecx+308h],bl
    83f1b7d4 7551            jne     nt!KdDisableDebuggerWithLock+0xd4 (83f1b827)
    83f1b7d6 8b0d6c89fa83    mov     ecx,dword ptr [nt!KeNumberProcessors (83fa896c)]
    kd> 
    nt!KdDisableDebuggerWithLock+0x89:
    83f1b7dc 40              inc     eax
    83f1b7dd 3bc1            cmp     eax,ecx
    83f1b7df 72e6            jb      nt!KdDisableDebuggerWithLock+0x74 (83f1b7c7)
    83f1b7e1 381d2c3dfa83    cmp     byte ptr [nt!KdDebuggerEnabled (83fa3d2c)],bl
    83f1b7e7 741b            je      nt!KdDisableDebuggerWithLock+0xb1 (83f1b804)
    83f1b7e9 e8021a2500      call    nt!KdpSuspendAllBreakpoints (8416d1f0)
    83f1b7ee 881d2c3dfa83    mov     byte ptr [nt!KdDebuggerEnabled (83fa3d2c)],bl
    83f1b7f4 c705bc89fa83afb9f183 mov dword ptr [nt!KiDebugRoutine (83fa89bc)],offset nt!KdpStub (83f1b9af)
    */

    ULONG ulTemp;
    char code[4] = {(char)0x40, (char)0x3b, (char)0xc1, (char)0x72};

    ulTemp = FindCharacteristicCode(uStartSearchAddr, code, 4) + 0x1e;

    if (!MmIsAddressValid((PVOID)ulTemp))
    {
        KdPrint(("ulTemp is invalid!\n"));
        return;
    }

    ulKdpStub = *(ULONG*)ulTemp;

    KdPrint(("ulKdpStub: 0x%08X\n", ulKdpStub));
}

VOID GetKdpTrapAddr(ULONG uStartSearchAddr)
{
    /*
    kd> 
    nt!KeEnterKernelDebugger+0x2f:
    83f2efc0 8731            xchg    esi,dword ptr [ecx]
    83f2efc2 85f6            test    esi,esi
    83f2efc4 7507            jne     nt!KeEnterKernelDebugger+0x3c (83f2efcd)
    83f2efc6 50              push    eax
    83f2efc7 50              push    eax
    83f2efc8 e83dc12400      call    nt!KdInitSystem (8417b10a)
    83f2efcd 6a05            push    5
    83f2efcf e893f0ffff      call    nt!KiBugCheckDebugBreak (83f2e067)

    kd> 
    nt!KdInitSystem+0x285:
    8417b38f 99              cdq
    8417b390 a3109cf783      mov     dword ptr [nt!KdVersionBlock+0x10 (83f79c10)],eax
    8417b395 8915149cf783    mov     dword ptr [nt!KdVersionBlock+0x14 (83f79c14)],edx
    8417b39b c644241101      mov     byte ptr [esp+11h],1
    8417b3a0 a1109cf783      mov     eax,dword ptr [nt!KdVersionBlock+0x10 (83f79c10)]
    8417b3a5 33f6            xor     esi,esi
    8417b3a7 807c241100      cmp     byte ptr [esp+11h],0
    8417b3ac a3409cf783      mov     dword ptr [nt!KdDebuggerDataBlock+0x18 (83f79c40)],eax
    kd> 
    nt!KdInitSystem+0x2a7:
    8417b3b1 8935449cf783    mov     dword ptr [nt!KdDebuggerDataBlock+0x1c (83f79c44)],esi
    8417b3b7 0f8428010000    je      nt!KdInitSystem+0x3db (8417b4e5)
    8417b3bd 53              push    ebx
    8417b3be e8977acdff      call    nt!KdDebuggerInitialize0 (83e52e5a)
    8417b3c3 85c0            test    eax,eax
    8417b3c5 0f8c1a010000    jl      nt!KdInitSystem+0x3db (8417b4e5)
    8417b3cb 803d18801c8400  cmp     byte ptr [nt!KdpDebuggerStructuresInitialized (841c8018)],0
    8417b3d2 c705bc99fb83f2c41784 mov dword ptr [nt!KiDebugRoutine (83fb99bc)],offset nt!KdpTrap (8417c4f2)
    */
    ULONG uTemp;
    char code1[3] = {(char)0x50, (char)0x50, (char)0xe8};
    char code2[3] = {(char)0x85, (char)0xc0, (char)0x0f};

    uTemp = FindCharacteristicCode(uStartSearchAddr, code1, 3) + 2;

    if (!MmIsAddressValid((PVOID)uTemp))
    {
        KdPrint(("uTemp is invalid!\n"));
        return;
    }

    ulKdInitSystem = uTemp + *(ULONG*)(uTemp + 1) + 5;
    KdPrint(("ulKdInitSystem: 0x%08X\n", ulKdInitSystem));

    uTemp = FindCharacteristicCode(ulKdInitSystem + 0x285, code2, 3);
    ulKdpTrap = *(ULONG*)(uTemp + 0x15);
    KdPrint(("ulKdpTrap: 0x%08X\n", ulKdpTrap));
}

VOID GetKdDebuggerEnabledAddr(ULONG uStartSearchAddr)
{
    /*
    kd> u
    nt!KeEnterKernelDebugger+0xd:
    83ee2f9e 8935fcc1f383    mov     dword ptr [nt!KiHardwareTrigger (83f3c1fc)],esi
    83ee2fa4 e8dbd9f9ff      call    nt!KeDisableInterrupts (83e80984)
    83ee2fa9 33c0            xor     eax,eax
    83ee2fab 38052c8df683    cmp     byte ptr [nt!KdDebuggerEnabled (83f68d2c)],al
    83ee2fb1 751a            jne     nt!KeEnterKernelDebugger+0x3c (83ee2fcd)
    83ee2fb3 380527cdf283    cmp     byte ptr [nt!KdPitchDebugger (83f2cd27)],al
    83ee2fb9 7512            jne     nt!KeEnterKernelDebugger+0x3c (83ee2fcd)
    83ee2fbb b980c1f383      mov     ecx,offset nt!KiBugCheckDriver+0x4 (83f3c180)
    */

    ULONG ulTemp;
    char code[3] = {(char)0x33, (char)0xc0, (char)0x38};

    ulTemp = FindCharacteristicCode(uStartSearchAddr, code, 3);

    ulKdDebuggerEnabled = *(ULONG*)(ulTemp + 4);
    KdPrint(("ulKdDebuggerEnabled: 0x%08X\n", ulKdDebuggerEnabled));
}

ULONG GetFuncAddrFromName(IN PCWSTR FunctionName)
{
    UNICODE_STRING FuncName;
    RtlInitUnicodeString(&FuncName, FunctionName);
    return (ULONG)MmGetSystemRoutineAddress(&FuncName);
}

VOID DriverUnload(PDRIVER_OBJECT pDriverObject)
{
    //KdpStub头部5个字节
    char code[5] = {(char)0x8b, (char)0xff, (char)0x55, (char)0x8b, (char)0xec};

    //恢复内核变量
    RecoverGlobal();

    //删除回调
    PsRemoveLoadImageNotifyRoutine(LoadImageRoutine);
    HookIoAllocMdl(FALSE);

    //恢复KdpStub头部
    UnInlineHookEngine(ulKdpStub, code, 5);

    //恢复KdDisableDebugger头部
    WritableOpen();
    __asm
    {
        pushad
        pushfd
        mov eax, ulKdDisableDebugger
        mov byte ptr ds:[eax], 0x6a
        mov byte ptr ds:[eax + 0x1], 0x01
        popfd
        popad
    }

    //改写KdDebuggerEnabled为1
    __asm
    {
        pushad
        pushfd
        mov eax, ulKdDebuggerEnabled
        mov dword ptr ds:[eax], 0x1
        popfd
        popad
    }
    WritableClose();
}


//查找函数地址
PVOID GetFuncAddress(LPWSTR lpFuncName)
{
    PVOID pFuncName;
    UNICODE_STRING usFuncName;

    RtlInitUnicodeString(&usFuncName, lpFuncName);
    KdPrint(("%wZ\n", &usFuncName));
    pFuncName = MmGetSystemRoutineAddress(&usFuncName);

    return pFuncName;
}

void WPOFF()
{
    //选择性编译,是给编译器看的
#ifdef _WIN64
    _disable();
    __writecr0(__readcr0() & (~(0x10000)));
#else
    __asm
    {
        CLI;
        MOV EAX, CR0;
        AND EAX, NOT 10000H;
        MOV CR0, EAX;
    }
#endif
}

void WPON()
{
#ifdef _WIN64
    __writecr0(__readcr0() ^ 0x10000);
    _enable();
#else
    __asm
    {
        MOV EAX, CR0;
        OR EAX, 10000H;
        MOV CR0, EAX;
        STI;
    }
#endif
}



ULONG_PTR GetKeUpdateSystemTimeAddr()
{
    ULONG i;
    PUCHAR pStart = (PUCHAR)ul_KeUpdateSystemTimeAssist;
    ULONG_PTR retAddress;
    for (i = 0; i < 100; i++)
    {
        if (*(pStart + i) == 0xe8 &&
            *(pStart + i + 5) == 0xfa)
        {
            retAddress = *(ULONG_PTR*)(pStart + i + 1) + (ULONG_PTR)(pStart + i) + 5;
            return retAddress;
        }
    }
    return 0;
}

ULONG_PTR GetKdCheckForDebugBreak()
{
    ULONG i;
    PUCHAR pStart = (PUCHAR)ul_KeUpdateRunTime;
    ULONG_PTR retAddress;
    for (i = 0x100; i < 0x200; i++)
    {
        if (*(pStart + i) == 0xe8 &&
            *(pStart + i + 5) == 0x5f)
        {
            retAddress = *(ULONG_PTR*)(pStart + i + 1) + (ULONG_PTR)(pStart + i) + 5;
            return retAddress;
        }
    }
    return 0;
}

ULONG_PTR GetKdDebuggerEnabled_1()
{
    ULONG i;
    PUCHAR pStart = (PUCHAR)ul_KeUpdateSystemTime;
    ULONG_PTR retAddress;
    for (i = 0x400; i < 0x500; i++)
    {
        if (*(pStart + i) == 0x80 &&
            *(pStart + i + 1) == 0x3d &&
            *(pStart + i + 7) == 0x74 &&
            *(pStart + i + 8) == 0x64)
        {
            retAddress = (ULONG_PTR)(pStart + i + 2);
            return retAddress;
        }
    }
    return 0;
}

ULONG_PTR GetKdDebuggerEnabled_2()
{
    ULONG i;
    PUCHAR pStart = (PUCHAR)ul_KeUpdateRunTime;
    ULONG_PTR retAddress;
    for (i = 0x100; i < 0x200; i++)
    {
        if (*(pStart + i) == 0x80 &&
            *(pStart + i + 1) == 0x3d &&
            *(pStart + i + 7) == 0x74 &&
            *(pStart + i + 8) == 0x12)
        {
            retAddress = (ULONG_PTR)(pStart + i + 2);
            return retAddress;
        }
    }
    return 0;
}

ULONG_PTR GetKdDebuggerEnabled_3()
{
    ULONG i;
    PUCHAR pStart = (PUCHAR)ul_KdCheckForDebugBreak;
    ULONG_PTR retAddress;
    for (i = 0; i < 100; i++)
    {
        if (*(pStart + i) == 0x80 &&
            *(pStart + i + 1) == 0x3d &&
            *(pStart + i + 7) == 0x74 &&
            *(pStart + i + 8) == 0x10)
        {
            retAddress = (ULONG_PTR)(pStart + i + 2);
            return retAddress;
        }
    }
    return 0;
}

ULONG_PTR GetKdDebuggerEnabled_4()
{
    ULONG i;
    PUCHAR pStart = (PUCHAR)ul_KdPollBreakIn;
    ULONG_PTR retAddress;
    for (i = 0; i < 50; i++)
    {
        if (*(pStart + i) == 0x38 &&
            *(pStart + i + 1) == 0x1d &&
            *(pStart + i + 6) == 0x0f &&
            *(pStart + i + 7) == 0x84)
        {
            retAddress = (ULONG_PTR)(pStart + i + 2);
            return retAddress;
        }
    }
    return 0;
}

ULONG_PTR GetKdPitchDebugger_1()
{
    ULONG i;
    PUCHAR pStart = (PUCHAR)ul_KdCheckForDebugBreak;
    ULONG_PTR retAddress;
    for (i = 0; i < 100; i++)
    {
        if (*(pStart + i) == 0x80 &&
            *(pStart + i + 1) == 0x3d &&
            *(pStart + i + 7) == 0x75 &&
            *(pStart + i + 8) == 0x19)
        {
            retAddress = (ULONG_PTR)(pStart + i + 2);
            return retAddress;
        }
    }
    return 0;
}

ULONG_PTR GetKdPitchDebugger_2()
{
    ULONG i;
    PUCHAR pStart = (PUCHAR)ul_KdPollBreakIn;
    ULONG_PTR retAddress;
    for (i = 0; i < 100; i++)
    {
        if (*(pStart + i) == 0x38 &&
            *(pStart + i + 1) == 0x1d &&
            *(pStart + i + 6) == 0x74 &&
            *(pStart + i + 7) == 0x07)
        {
            retAddress = (ULONG_PTR)(pStart + i + 2);
            return retAddress;
        }
    }
    return 0;
}

//转移内核变量函数
void MoveGlobal()
{
    ul_KeUpdateSystemTimeAssist = (ULONG_PTR)GetFuncAddress(L"KeUpdateSystemTime");
    ul_KeUpdateSystemTime = GetKeUpdateSystemTimeAddr();
    ul_KdDebuggerEnabled_1 = GetKdDebuggerEnabled_1();

    ul_KeUpdateRunTime = (ULONG_PTR)GetFuncAddress(L"KeUpdateRunTime");
    ul_KdDebuggerEnabled_2 = GetKdDebuggerEnabled_2();


    ul_KdCheckForDebugBreak = GetKdCheckForDebugBreak();

    ul_KdDebuggerEnabled_3 = GetKdDebuggerEnabled_3();
    ul_KdPitchDebugger_1 = GetKdPitchDebugger_1();


    ul_KdPollBreakIn = (ULONG_PTR)GetFuncAddress(L"KdPollBreakIn");
    ul_KdDebuggerEnabled_4 = GetKdDebuggerEnabled_4();

    ul_KdPitchDebugger_2 = GetKdPitchDebugger_2();

    //保存原始内核变量
    ul_oldKdDebuggerEnabled = *(ULONG_PTR*)ul_KdDebuggerEnabled_1;
    ul_oldKdPitchDebugger = *(ULONG_PTR*)ul_KdPitchDebugger_1;

    WPOFF();
    //开始转移内核变量
    *(ULONG_PTR*)ul_KdDebuggerEnabled_1 = (ULONG_PTR)&bool_myKdDebuggerEnabled;
    *(ULONG_PTR*)ul_KdDebuggerEnabled_2 = (ULONG_PTR)&bool_myKdDebuggerEnabled;
    *(ULONG_PTR*)ul_KdDebuggerEnabled_3 = (ULONG_PTR)&bool_myKdDebuggerEnabled;
    *(ULONG_PTR*)ul_KdDebuggerEnabled_4 = (ULONG_PTR)&bool_myKdDebuggerEnabled;
    *(ULONG_PTR*)ul_KdPitchDebugger_1 = (ULONG_PTR)&bool_myKdPitchDebugger;
    *(ULONG_PTR*)ul_KdPitchDebugger_2 = (ULONG_PTR)&bool_myKdPitchDebugger;
    WPON();

    KdPrint(("内核变量转移完成\n"));
}

//恢复转移的内核变量
void RecoverGlobal()
{
    //恢复原来内核变量
    WPOFF();
    *(ULONG_PTR*)ul_KdDebuggerEnabled_1 = ul_oldKdDebuggerEnabled;
    *(ULONG_PTR*)ul_KdDebuggerEnabled_2 = ul_oldKdDebuggerEnabled;
    *(ULONG_PTR*)ul_KdDebuggerEnabled_3 = ul_oldKdDebuggerEnabled;
    *(ULONG_PTR*)ul_KdDebuggerEnabled_4 = ul_oldKdDebuggerEnabled;
    *(ULONG_PTR*)ul_KdPitchDebugger_1 = ul_oldKdPitchDebugger;
    *(ULONG_PTR*)ul_KdPitchDebugger_2 = ul_oldKdPitchDebugger;
    WPON();
    KdPrint(("内核变量恢复完成\n"));
}

 

你可能感兴趣的:(DB)

  • WPF中的ComboBox控件几种数据绑定的方式 互联网打工人no1 wpfc#
    一、用字典给ItemsSource赋值(此绑定用的地方很多,建议熟练掌握)在XMAL中:在CS文件中privatevoidBindData(){DictionarydicItem=newDictionary();dicItem.add(1,"北京");dicItem.add(2,"上海");dicItem.add(3,"广州");cmb_list.ItemsSource=dicItem;cmb_l
  • SQL Server_查询某一数据库中的所有表的内容 qq_42772833 SQLServer数据库sqlserver
    1.查看所有表的表名要列出CrabFarmDB数据库中的所有表(名),可以使用以下SQL语句:USECrabFarmDB;--切换到目标数据库GOSELECTTABLE_NAMEFROMINFORMATION_SCHEMA.TABLESWHERETABLE_TYPE='BASETABLE';对这段SQL脚本的解释:SELECTTABLE_NAME:这个语句的作用是从查询结果中选择TABLE_NAM
  • MYSQL面试系列-04 king01299 面试mysql面试
    MYSQL面试系列-0417.关于redolog和binlog的刷盘机制、redolog、undolog作用、GTID是做什么的?innodb_flush_log_at_trx_commit及sync_binlog参数意义双117.1innodb_flush_log_at_trx_commit该变量定义了InnoDB在每次事务提交时,如何处理未刷入(flush)的重做日志信息(redolog)。它
  • MongoDB Oplog 窗口 喝醉酒的小白 MongoDB运维
    在MongoDB中,oplog(操作日志)是一个特殊的日志系统,用于记录对数据库的所有写操作。oplog允许副本集成员(通常是从节点)应用主节点上已经执行的操作,从而保持数据的一致性。它是MongoDB副本集实现数据复制的基础。MongoDBOplog窗口oplog窗口是指在MongoDB副本集中,从节点可以用来同步数据的时间范围。这个窗口通常由以下因素决定:Oplog大小:oplog的大小是有限
  • nosql数据库技术与应用知识点 皆过客,揽星河 NoSQLnosql数据库大数据数据分析数据结构非关系型数据库
    Nosql知识回顾大数据处理流程数据采集(flume、爬虫、传感器)数据存储(本门课程NoSQL所处的阶段)Hdfs、MongoDB、HBase等数据清洗(入仓)Hive等数据处理、分析(Spark、Flink等)数据可视化数据挖掘、机器学习应用(Python、SparkMLlib等)大数据时代存储的挑战(三高)高并发(同一时间很多人访问)高扩展(要求随时根据需求扩展存储)高效率(要求读写速度快)
  • Linux MariaDB使用OpenSSL安装SSL证书 Meta39 MySQLOracleMariaDBLinuxWindowsssllinuxmariadb
    进入到证书存放目录,批量删除.pem证书警告:确保已经进入到证书存放目录find.-typef-iname\*.pem-delete查看是否安装OpenSSLopensslversion没有则安装yuminstallopensslopenssl-devel开启SSL编辑/etc/my.cnf文件(没有的话就创建,但是要注意,在/etc/my.cnf.d/server.cnf配置了datadir的,
  • spring如何整合druid连接池? 惜.己 springspringjunit数据库javaidea后端xml
    目录spring整合druid连接池1.新建maven项目2.新建mavenModule3.导入相关依赖4.配置log4j2.xml5.配置druid.xml1)xml中如何引入properties2)下面是配置文件6.准备jdbc.propertiesJDBC配置项解释7.配置druid8.测试spring整合druid连接池1.新建maven项目打开IDE(比如IntelliJIDEA,Ecl
  • MongoDB知识概括 GeorgeLin98 持久层mongodb
    MongoDB知识概括MongoDB相关概念单机部署基本常用命令索引-IndexSpirngDataMongoDB集成副本集分片集群安全认证MongoDB相关概念业务应用场景:传统的关系型数据库(如MySQL),在数据操作的“三高”需求以及应对Web2.0的网站需求面前,显得力不从心。解释:“三高”需求:①Highperformance-对数据库高并发读写的需求。②HugeStorage-对海量数
  • Mongodb Error: queryTxt ETIMEOUT xxxx.wwwdz.mongodb.net 佛一脚 errorreactmongodb数据库
    背景每天都能遇到奇怪的问题,做个记录,以便有缘人能得到帮助!换了一台电脑开发nextjs程序。需要连接mongodb数据,对数据进行增删改查。上一台电脑好好的程序,新电脑死活连不上mongodb数据库。同一套代码,没任何修改,搞得我怀疑人生了,打开浏览器进入mongodb官网毫无问题,也能进入线上系统查看数据,网络应该是没问题。于是我尝试了一下手机热点,这次代码能正常跑起来,连接数据库了!!!是不
  • GenVisR 基因组数据可视化实战(三) 11的雾
    3.genCov画每个突变位点附件的coverage,跟igv有点相似。这个操作起来很复杂,但是图还是挺有用的。可以考虑。由于我的referencegenomebuild是hg38BiocManager::install(c("TxDb.Hsapiens.UCSC.hg38.knownGene","BSgenome.Hsapiens.UCSC.hg38"))library(TxDb.Hsapien
  • MyBatis 详解 阿贾克斯的黎明 javamybatis
    目录目录一、MyBatis是什么二、为什么使用MyBatis(一)灵活性高(二)性能优化(三)易于维护三、怎么用MyBatis(一)添加依赖(二)配置MyBatis(三)创建实体类和接口(四)使用MyBatis一、MyBatis是什么MyBatis是一个优秀的持久层框架,它支持自定义SQL、存储过程以及高级映射。MyBatis免除了几乎所有的JDBC代码以及设置参数和获取结果集的工作。它可以通过简
  • wandb一直上传 解决方案 行业边缘的摸鱼怪 bug解决方案服务器linux服务器
    问题描述运行带有wandb的代码时,虽然可以实现及时同步非常方便,但当设置错参数或其他原因不得不使用ctrl+C停止运行时,总会出现wandb一直上传个不停的现象,给在同一终端重新运行新的代码造成困难。解决方案运行以下代码把wandb的进程直接杀死。psaux|grepwandb|grep-vgrep|awk'{print$2}'|xargskill-9参考链接[CLI]:Ctrl+Ctokill
  • You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version 努力的菜鸟~ sql数据库
    YouhaveanerrorinyourSQLsyntax;checkthemanualthatcorrespondstoyourMySQLserverversionfortherightsyntaxtousenear‘IDENTIFIEDBY‘123456’WITHGRANTOPTION’atline1在mysql5.7之前GRANTALLPRIVILEGESON*.*TO'root'@'%'I
  • Redis 有哪些危险命令?如何防范? 花小疯 redis缓存数据库危险命令大数据
    Redis有哪些危险命令?Redis的危险命令主要有以下几个:1.keys客户端可查询出所有存在的键。2.flushdb删除Redis中当前所在数据库中的所有记录,并且此命令从不会执行失败。3.flushall删除Redis中所有数据库中的所有记录,不止是当前所在数据库,并且此命令从不会执行失败。4.config客户端可修改Redis配置。怎么禁用和重命名危险命令?看下redis.conf默认配置
  • 【Java】已解决:org.springframework.jdbc.datasource.lookup.DataSourceLookupFailureException 屿小夏 java开发语言
    文章目录一、分析问题背景问题背景描述出现问题的场景二、可能出错的原因三、错误代码示例四、正确代码示例五、注意事项已解决:org.springframework.jdbc.datasource.lookup.DataSourceLookupFailureException在使用Spring框架进行开发时,数据源的配置和使用是非常关键的一环。然而,有时候我们可能会遇到org.springframewo
  • swing窗体打jar包后找不到图片的问题 zoyation javajarswingclassloaderimageeclipsejava
    今天打jar包遇到一个怪问题:打成jar包后双击运行没反应cmd运行有反应但出现下列问题Causedby:java.lang.ExceptionInInitializerErroratcom.zou.ui.MyDialog.init(MyDialog.java:92)atcom.zou.ui.MyDialog.(MyDialog.java:45)atcom.zou.ui.LoginDialog.(
  • 2021-06-07 Do What You Are Meant To Do 春生阁
    Don’tgiveupontryingtofindbalanceinyourlife.Sticktoyourpriorities.Rememberwhat’smostimportanttoyouanddoeverythingyoucantoputyourselfinapositionwhereyoucanfocusonthosepriorities,ratherthanbeingpulledbyt
  • 大牛:新型电动汽车电池技术问世! 可将电池能量密度提高2倍成本降一半 38cc8b780dc0
    据外媒报道,当地时间6月10日,电动汽车电池技术领导者OneDBatterySciences宣布推出一项可为下一代电动汽车电池提供动力的突破性技术——SINANODE。对于电动汽车行业而言,打造含有更多硅的电池一直是一个挑战,而SINANODE无缝集成至现有的生产工艺中,让硅纳米线与商用石墨粉末融合,将电池阳极的能量密度提高了两倍,但是将每kWh的成本降低了一半。能量密度更高可以让电池的续航更长,
  • Kubernetes部署MySQL数据持久化 沫殇-MS KubernetesMySQL数据库kubernetesmysql容器
    一、安装配置NFS服务端1、安装nfs-kernel-server:sudoapt-yinstallnfs-kernel-server2、服务端创建共享目录#列出所有可用块设备的信息lsblk#格式化磁盘sudomkfs-text4/dev/sdb#创建一个目录:sudomkdir-p/data/nfs/mysql#更改目录权限:sudochown-Rnobody:nogroup/data/nfs
  • 基于STM32的简易RTOS分析-预备知识 騏威 嵌入式
    写下这篇文章的主要目的是对自己学习RTOS的历程做一个记录和总结,方便以后回忆翻看。以下内容主要来自宋岩先生翻译的《Cortex-M3权威指南》。目录一、Cortex-M3寄存器简介二、堆栈操作简介三、汇编指令简介LDR和STR指令STMDB和LDMIA指令B、BX、BL、BLX指令MRS和MSR指令四、中断简介中断响应过程简介SVC和PensSV中断简介软件中断五、汇编基础一、Cortex-M3
  • 漫谈QWidget及其派生类(二) Caiaolun
    原文地址:https://blog.csdn.net/dbzhang800/article/details/6741344上一部分漫谈QWidget及其派生类(一)介绍了QWidget及其派生类,分:窗口、普通控件两种类型(其实有个Qt::SubWindow没有提,不过本系列中也没有介绍它的打算,因为我不熟)。本文接下来试图看看QLayout与窗口的几何尺寸控制。注意:本文只是试图解释,QLayo
  • 《女子监狱》系列,Netflix自此走上牛B之路 IMTVS_cc
    文|温水排版|不二今天小编要给大家推荐的是让Netflix大方打上“原创剧集”这个牛气标签,也让HBO这些老牌电视网倒吸一口凉气的美剧《女子监狱》。剧集播出后,IMDB得分在9分徘徊,媒体评价持续走高。从收视率及口碑上来看,《女子监狱》是网飞当之无愧的王牌,自上线以来斩获金球奖等重要奖项6次、提名19次,网络话题数不胜数。《女子监狱》的英文原名是“Orangeisthenewblack”,直译过来
  • linux gcc 格式,Linux下gcc与gdb简介 神奇的战士 linuxgcc格式
    gcc编译器可以将C、C++等语言源程序、汇编程序编译、链接成可执行程序。gdb是GNU开发的一个Unix/Linux下强大的程序调试工具。linux下没有后缀名的概念。但gcc根据文件的后缀来区别输入文件的类别:.cC语言源代码文件.a由目标文件构成的库文件.C、.cc、.cppC++源码文件.h头文件.i经过预处理之后的C语言文件.ii经过预处理之后的C++文件.o编译后的目标文件.s汇编源码
  • Linux中GCC与GDB 常用命令详解 Dijkstra's Monk-ey Linux与安全linuxgdbshell安全c语言
    GCC和GDB常用命令详解GCC常用的选项GDBLINUX下编程,少不了和GCC,GDB打交道,现在总结下常用命令,掌握这些足够用了。GCC常用的选项选项语义-o指定生成的输出文件-E仅执行编译预处理gcc的-E选项,可以让编译器在预处理后停止,并输出预处理结果。-S将C代码转换为汇编代码gcc的-S选项,表示在程序编译期间,在生成汇编代码后停止-wall显示警告信息-c生成目标文件(.o),仅执
  • linux简单安装gcc和gdb chn-zgq Linuxlinuxubuntu
    linux安装gcc以及环境配置和gdb安装gcc-10.0添加源:sudoadd-apt-repositoryppa:ubuntu-toolchain-r/ppa更新源:sudoaptupdate下载gcc:sudoaptinstallgcc-10g++-10默认GCC版本设置为gcc-10.0:sudoupdate-alternatives--install/usr/bin/gccgcc/us
  • 梧桐数据库(WuTongDB):数据库技术中都有哪些常见的优化器 鲁鲁517 梧桐数据库梧桐数据库
    以下是一些常见的数据库优化器:1.CBO(Cost-BasedOptimizer)应用场景:广泛应用于关系型数据库中,如Oracle、PostgreSQL、MySQL等。工作原理:通过计算不同执行计划的代价(如CPU、I/O等资源消耗),选择最低代价的执行计划。代表数据库:Oracle、PostgreSQL、MySQL。特点:CBO使用统计信息(如表大小、索引分布)来评估查询的代价。2.RBO(R
  • MySQL日志 沉着冷静2024 MySQLmysql数据库
    MySQL日志文章目录MySQL日志MySQL三大日志binlog的三种格式redolog和binlog的区别和应用场景为什么崩溃恢复不用binlog而用redolog?redolog如何实现持久化redolog还能做什么?redolog的三种刷盘策略两阶段提交什么是?为什么?两阶段提交过程MySQL三大日志1.undologundolog是InnoDB存储引擎层的日志,实现了事务的原子性,主要用
  • MySQL锁 沉着冷静2024 MySQLmysql数据库
    MySQL锁文章目录MySQL锁MySQL中锁的分类创建索引时会锁表吗线上修改表结构会加什么锁Innodb存储引擎的行级锁有哪些Update语句中,不带where条件,加什么锁?MySQL实现乐观锁MySQL死锁MySQL死锁是怎么发生的?检查死锁如何避免死锁MySQL中锁的分类全局锁:主要用于全库逻辑备份表级锁:表锁、元数据锁、意向锁表锁:通过locktables语句对表进行加锁,它不仅限制其他
  • 36. MyBatis如何支持多数据库操作?如何配置不同的数据源? 这孩子叫逆 Mybatis笔记mybatis数据库
    在许多企业级应用中,可能需要访问多个数据库。MyBatis可以通过配置多个数据源和动态切换数据源来支持多数据库操作。下面介绍如何在MyBatis中配置和使用多个数据源。1.多数据源的基本配置1.1配置多个数据源要支持多个数据源,首先需要在Spring或SpringBoot中配置不同的数据源。假设我们要连接两个数据库db1和db2,可以通过以下步骤进行配置。SpringBoot示例:applicat
  • Python和MATLAB及C++信噪比导图(算法模型) 亚图跨际 算法交叉知识Python视频图像修复模数转换信号链噪音频谱计算量化周期性视觉刺激高斯噪声的矩形脉冲心率失常检测算法
    要点视频图像修复模数转换中混合信号链噪音测量频谱计算和量化周期性视觉刺激脑电图高斯噪声的矩形脉冲总谐波失真周期图功率谱密度各种心率失常检测算法胶体悬浮液跟踪检测计算交通监控摄像头图像噪音计算Python信噪比信噪比是科学和工程中使用的一种测量方法,用于比较所需信号水平与背景噪声水平。信噪比定义为信号功率与噪声功率之比,通常以分贝表示。高于1:1(大于0dB)的比率表示信号大于噪声。信噪比是影响处理
  • java的(PO,VO,TO,BO,DAO,POJO) Cb123456 VOTOBOPOJODAO
    转: http://www.cnblogs.com/yxnchinahlj/archive/2012/02/24/2366110.html   -------------------------------------------------------------------  O/R Mapping 是 Object Relational Mapping(对象关系映
  • spring ioc原理(看完后大家可以自己写一个spring) aijuans spring
             最近,买了本Spring入门书:spring In Action 。大致浏览了下感觉还不错。就是入门了点。Manning的书还是不错的,我虽然不像哪些只看Manning书的人那样专注于Manning,但怀着崇敬 的心情和激情通览了一遍。又一次接受了IOC 、DI、AOP等Spring核心概念。 先就IOC和DI谈一点我的看法。IO
  • MyEclipse 2014中Customize Persperctive设置无效的解决方法 Kai_Ge MyEclipse2014
    高高兴兴下载个MyEclipse2014,发现工具条上多了个手机开发的按钮,心生不爽就想弄掉他! 结果发现Customize Persperctive失效!! 有说更新下就好了,可是国内Myeclipse访问不了,何谈更新... so~这里提供了更新后的一下jar包,给大家使用! 1、将9个jar复制到myeclipse安装目录\plugins中 2、删除和这9个jar同包名但是版本号较
  • SpringMvc上传 120153216 springMVC
      @RequestMapping(value = WebUrlConstant.UPLOADFILE) @ResponseBody public Map<String, Object> uploadFile(HttpServletRequest request,HttpServletResponse httpresponse) { try { //
  • Javascript----HTML DOM 事件 何必如此 JavaScripthtmlWeb
    HTML DOM 事件允许Javascript在HTML文档元素中注册不同事件处理程序。 事件通常与函数结合使用,函数不会在事件发生前被执行! 注:DOM: 指明使用的 DOM 属性级别。 1.鼠标事件 属性               
  • 动态绑定和删除onclick事件 357029540 JavaScriptjquery
    因为对JQUERY和JS的动态绑定事件的不熟悉,今天花了好久的时间才把动态绑定和删除onclick事件搞定!现在分享下我的过程。      在我的查询页面,我将我的onclick事件绑定到了tr标签上同时传入当前行(this值)参数,这样可以在点击行上的任意地方时可以选中checkbox,但是在我的某一列上也有一个onclick事件是用于下载附件的,当
  • HttpClient|HttpClient请求详解 7454103 apache应用服务器网络协议网络应用Security
    HttpClient 是 Apache Jakarta Common 下的子项目,可以用来提供高效的、最新的、功能丰富的支持 HTTP 协议的客户端编程工具包,并且它支持 HTTP 协议最新的版本和建议。本文首先介绍 HTTPClient,然后根据作者实际工作经验给出了一些常见问题的解决方法。HTTP 协议可能是现在 Internet 上使用得最多、最重要的协议了,越来越多的 Java 应用程序需
  • 递归 逐层统计树形结构数据 darkranger 数据结构
    将集合递归获取树形结构: /** * * 递归获取数据 * @param alist:所有分类 * @param subjname:对应统计的项目名称 * @param pk:对应项目主键 * @param reportList: 最后统计的结果集 * @param count:项目级别 */ public void getReportVO(Arr
  • 访问WEB-INF下使用frameset标签页面出错的原因 aijuans struts2
    <frameset rows="61,*,24" cols="*" framespacing="0" frameborder="no" border="0">        
  • MAVEN常用命令 avords
    Maven库: http://repo2.maven.org/maven2/ Maven依赖查询: http://mvnrepository.com/ Maven常用命令: 1. 创建Maven的普通java项目:    mvn archetype:create    -DgroupId=packageName 
  • PHP如果自带一个小型的web服务器就好了 houxinyou apache应用服务器WebPHP脚本
    最近单位用PHP做网站,感觉PHP挺好的,不过有一些地方不太习惯,比如,环境搭建。PHP本身就是一个网站后台脚本,但用PHP做程序时还要下载apache,配置起来也不太很方便,虽然有好多配置好的apache+php+mysq的环境,但用起来总是心里不太舒服,因为我要的只是一个开发环境,如果是真实的运行环境,下个apahe也无所谓,但只是一个开发环境,总有一种杀鸡用牛刀的感觉。如果php自己的程序中
  • NoSQL数据库之Redis数据库管理(list类型) bijian1013 redis数据库NoSQL
    3.list类型及操作         List是一个链表结构,主要功能是push、pop、获取一个范围的所有值等等,操作key理解为链表的名字。Redis的list类型其实就是一个每个子元素都是string类型的双向链表。我们可以通过push、pop操作从链表的头部或者尾部添加删除元素,这样list既可以作为栈,又可以作为队列。   &nbs
  • 谁在用Hadoop? bingyingao hadoop数据挖掘公司应用场景
    Hadoop技术的应用已经十分广泛了,而我是最近才开始对它有所了解,它在大数据领域的出色表现也让我产生了兴趣。浏览了他的官网,其中有一个页面专门介绍目前世界上有哪些公司在用Hadoop,这些公司涵盖各行各业,不乏一些大公司如alibaba,ebay,amazon,google,facebook,adobe等,主要用于日志分析、数据挖掘、机器学习、构建索引、业务报表等场景,这更加激发了学习它的热情。
  • 【Spark七十六】Spark计算结果存到MySQL bit1129 mysql
    package spark.examples.db import java.sql.{PreparedStatement, Connection, DriverManager} import com.mysql.jdbc.Driver import org.apache.spark.{SparkContext, SparkConf} object SparkMySQLInteg
  • Scala: JVM上的函数编程 bookjovi scalaerlanghaskell
        说Scala是JVM上的函数编程一点也不为过,Scala把面向对象和函数型编程这两种主流编程范式结合了起来,对于熟悉各种编程范式的人而言Scala并没有带来太多革新的编程思想,scala主要的有点在于Java庞大的package优势,这样也就弥补了JVM平台上函数型编程的缺失,MS家.net上已经有了F#,JVM怎么能不跟上呢?     对本人而言
  • jar打成exe bro_feng java jar exe
    今天要把jar包打成exe,jsmooth和exe4j都用了。 遇见几个问题。记录一下。 两个软件都很好使,网上都有图片教程,都挺不错。 首先肯定是要用自己的jre的,不然不能通用,其次别忘了把需要的lib放到classPath中。 困扰我很久的一个问题是,我自己打包成功后,在一个同事的没有装jdk的电脑上运行,就是不行,报错jvm.dll为无效的windows映像,如截图 最后发现
  • 读《研磨设计模式》-代码笔记-策略模式-Strategy bylijinnan java设计模式
    声明: 本文只为方便我个人查阅和理解,详细的分析以及源代码请移步 原作者的博客http://chjavach.iteye.com/ /* 策略模式定义了一系列的算法,并将每一个算法封装起来,而且使它们还可以相互替换。策略模式让算法独立于使用它的客户而独立变化 简单理解: 1、将不同的策略提炼出一个共同接口。这是容易的,因为不同的策略,只是算法不同,需要传递的参数
  • cmd命令值cvfM命令 chenyu19891124 cmd
         cmd命令还真是强大啊。今天发现jar -cvfM aa.rar @aaalist 就这行命令可以根据aaalist取出相应的文件   例如:      在d:\workspace\prpall\test.java 有这样一个文件,现在想要将这个文件打成一个包。运行如下命令即可比如在d:\wor
  • OpenJWeb(1.8) Java Web应用快速开发平台 comsci java框架Web项目管理企业应用
        OpenJWeb(1.8) Java Web应用快速开发平台的作者是我们技术联盟的成员,他最近推出了新版本的快速应用开发平台  OpenJWeb(1.8),我帮他做做宣传   OpenJWeb快速开发平台以快速开发为核心,整合先进的java 开源框架,本着自主开发+应用集成相结合的原则,旨在为政府、企事业单位、软件公司等平台用户提供一个架构透
  • Python 报错:IndentationError: unexpected indent daizj pythontab空格缩进
        IndentationError: unexpected indent 是缩进的问题,也有可能是tab和空格混用啦     Python开发者有意让违反了缩进规则的程序不能通过编译,以此来强制程序员养成良好的编程习惯。并且在Python语言里,缩进而非花括号或者某种关键字,被用于表示语句块的开始和退出。增加缩进表示语句块的开
  • HttpClient 超时设置 dongwei_6688 httpclient
    HttpClient中的超时设置包含两个部分: 1. 建立连接超时,是指在httpclient客户端和服务器端建立连接过程中允许的最大等待时间 2. 读取数据超时,是指在建立连接后,等待读取服务器端的响应数据时允许的最大等待时间   在HttpClient 4.x中如下设置:   HttpClient httpclient = new DefaultHttpC
  • 小鱼与波浪 dcj3sjt126com
    一条小鱼游出水面看蓝天,偶然间遇到了波浪。  小鱼便与波浪在海面上游戏,随着波浪上下起伏、汹涌前进。  小鱼在波浪里兴奋得大叫:“你每天都过着这么刺激的生活吗?简直太棒了。”  波浪说:“岂只每天过这样的生活,几乎每一刻都这么刺激!还有更刺激的,要有潮汐变化,或者狂风暴雨,那才是兴奋得心脏都会跳出来。”  小鱼说:“真希望我也能变成一个波浪,每天随着风雨、潮汐流动,不知道有多么好!”  很快,小鱼
  • Error Code: 1175 You are using safe update mode and you tried to update a table dcj3sjt126com mysql
    快速高效用:SET SQL_SAFE_UPDATES = 0;下面的就不要看了! 今日用MySQL Workbench进行数据库的管理更新时,执行一个更新的语句碰到以下错误提示: Error Code: 1175 You are using safe update mode and you tried to update a table without a WHERE that
  • 枚举类型详细介绍及方法定义 gaomysion enumjavaee
    转发 http://developer.51cto.com/art/201107/275031.htm 枚举其实就是一种类型,跟int, char 这种差不多,就是定义变量时限制输入的,你只能够赋enum里面规定的值。建议大家可以看看,这两篇文章,《java枚举类型入门》和《C++的中的结构体和枚举》,供大家参考。 枚举类型是JDK5.0的新特征。Sun引进了一个全新的关键字enum
  • Merge Sorted Array hcx2013 array
    Given two sorted integer arrays nums1 and nums2, merge nums2 into nums1 as one sorted array. Note:You may assume that nums1 has enough space (size that is
  • Expression Language 3.0新特性 jinnianshilongnian el 3.0
    Expression Language 3.0表达式语言规范最终版从2013-4-29发布到现在已经非常久的时间了;目前如Tomcat 8、Jetty 9、GlasshFish 4已经支持EL 3.0。新特性包括:如字符串拼接操作符、赋值、分号操作符、对象方法调用、Lambda表达式、静态字段/方法调用、构造器调用、Java8集合操作。目前Glassfish 4/Jetty实现最好,对大多数新特性
  • 超越算法来看待个性化推荐 liyonghui160com 超越算法来看待个性化推荐
             一提到个性化推荐,大家一般会想到协同过滤、文本相似等推荐算法,或是更高阶的模型推荐算法,百度的张栋说过,推荐40%取决于UI、30%取决于数据、20%取决于背景知识,虽然本人不是很认同这种比例,但推荐系统中,推荐算法起的作用起的作用是非常有限的。       就像任何
  • 写给Javascript初学者的小小建议 pda158 JavaScript
      一般初学JavaScript的时候最头痛的就是浏览器兼容问题。在Firefox下面好好的代码放到IE就不能显示了,又或者是在IE能正常显示的代码在firefox又报错了。   如果你正初学JavaScript并有着一样的处境的话建议你:初学JavaScript的时候无视DOM和BOM的兼容性,将更多的时间花在 了解语言本身(ECMAScript)。只在特定浏览器编写代码(Chrome/Fi
  • Java 枚举 ShihLei javaenum枚举
    注:文章内容大量借鉴使用网上的资料,可惜没有记录参考地址,只能再传对作者说声抱歉并表示感谢!   一 基础 1)语法      枚举类型只能有私有构造器(这样做可以保证客户代码没有办法新建一个enum的实例)      枚举实例必须最先定义 2)特性     &nb
  • Java SE 6 HotSpot虚拟机的垃圾回收机制 uuhorse javaHotSpotGC垃圾回收VM
    官方资料,关于Java SE 6 HotSpot虚拟机的garbage Collection,非常全,英文。 http://www.oracle.com/technetwork/java/javase/gc-tuning-6-140523.html   Java SE 6 HotSpot[tm] Virtual Machine Garbage Collection Tuning &
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他