WINDOWS驱动

windows驱动开发-内核编程技术汇总(二)

使用NTSTATUS值许多内核模式标准驱动程序例程和驱动程序支持例程使用NTSTATUS类型返回值。此外，在完成IRP时，驱动程序在IRP的IO_STATUS_BLOCK结构中提供NTSTATUS类型的值。NTSTATUS类型在Ntdef.h中定义，系统提供的状态代码在Ntstatus.h中定义。供应商还可以定义专用状态代码，尽管他们很少需要。NTSTATUS值分为四种类型：成功值、信息值、警告和

sului·2024-09-08 09:11

Windows驱动签名，应用程序签名教程

获取数字证书首先，您需要获取数字证书。数字证书是一种电子凭证，用于证明您的身份和对代码的所有权。您可以在各种数字证书颁发机构（CA）中获得数字证书，例如Symantec、VeriSign、Comodo等。您可以在它们的网站上申请数字证书。安装数字证书安装数字证书后，您需要将其导入到计算机的证书存储中。按照以下步骤操作：右键单击数字证书文件，选择“安装证书”。在“证书导入向导”中，选择“本地计算机”

每日一行代码·2024-02-12 10:08

linux驱动工作原理

linux或者windows驱动是如何对上和对下工作的，请用中文回答在Linux系统中，设备驱动程序通过在/dev目录下创建文件系统条目与硬件通信。

金士顿·2024-02-09 06:39

kvm qemu 优化 windows 虚拟机速度

主要优化磁盘io和网络io都选为virtiowindows驱动下载https://fedorapeople.org/groups/virt/virtio-win/direct-downloads/archive-virtio

nongcunqq·2024-02-05 18:34

Windows内存管理 - 物理内存概念(Physical Memory Address)

作为windows驱动程序的程序员，需要比普通程序员更多的了解Windows内部的内存管理机制，并在驱动程序中有效地使用内存。

WendyWJGu·2024-02-03 11:14

Windows驱动开发之环境搭建，长期Waiting for connecting...思路

Windows驱动开发之环境搭建1、前期准备Vmware虚拟机软件Windows10iso安装包VisualStudio2022IDE软件SDK安装（一定要勾选上debug选项，windbg在里面）WDK

port9527·2024-01-31 01:40

Minifilter文件及文件夹重定向

Minifilter文件及文件夹重定向minifilter是windows驱动开发中针对文件的一个过滤驱动，上可以实现文件透明加密、应用沙盒、自动备份等功能。

Niap.pr·2024-01-29 10:22

10系统移植

day1【1】移植的目的->匹配硬件的改变软件也要做相应的改变【2】系统移植基本内容windows装机：进入BIOS选择U盘启动（即开机后执行U盘的程序）->从U盘中启动老毛桃（引导安装系统）->安装windows

scw_zch·2024-01-24 19:07

Win32 消息队列循环机制【转载】

Dos的过程驱动与Windows的事件驱动在讲本程序的消息循环之前，我想先谈一下Dos与Windows驱动机制的区别:DOS程序主要使用顺序的，过程驱动的程序设计方法。

虚三岁·2024-01-21 06:50

基于Xilinx Kintex-7 FPGA K7 XC7K325T PCIeX8 四路光纤卡光纤PCIe卡

pin_to_pin兼容FPGAXC7K410T-2FFG900，支持8-LanePCIe、64bitDDR3、四路SFP+连接器、四路SATA接口、内嵌16个高速串行收发器RocketIOGTX，软件具有windows

hexiaoyan827·2024-01-18 21:35

Kvaser使用（Can总线）

categories=driverwindows驱动：kvaser_drivers_setup.exe(根据设备编号查找，4xHs和2x

pzs0221·2024-01-13 04:29

【test】ch340驱动

Windows驱动下载链接：CH340/CH341Windows驱动链接http://www.wch.cn/download/CH341SER_EXE.html说明：CH340/CH341USB转串口WIND

Yengi·2024-01-06 20:38

FS4412系统移植及开发板启动过程

Windows装机过程：1、准备Windows系统镜像、U盘启动盘2、进入BIOS选择启动方式（U盘启动）3、通过U盘中的引导程序安装系统4、安装Windows驱动程序5、安装Windows应用程序Linux

ssz__·2024-01-05 03:17

BootCamp 6.0.6136/6.0 6133 Windows10驱动

BootCamp6.0.6136/6.06133Windows10驱动-苹果系统之家(macoshome.com)BootCamp6.0下载-苹果Mac电脑官方最新Windows驱动程序安装包(完美支持

AI知识图谱大本营·2024-01-03 17:17

7.6 Windows驱动开发：内核监控FileObject文件回调

本篇文章与上一篇文章《内核注册并监控对象回调》所使用的方式是一样的都是使用ObRegisterCallbacks注册回调事件，只不过上一篇博文中LyShark将回调结构体OB_OPERATION_REGISTRATION中的ObjectType填充为了PsProcessType和PsThreadType格式从而实现监控进程与线程，本章我们需要将该结构填充为IoFileObjectType以此来实现

微软技术分享·2023-12-06 18:49

Umdh进行内存泄露分析软件的下载、安装与使用

Umdh内存泄露分析适用范围：dll内存泄露长时间才出现的不易分析的内存泄露问题1.2软件下载安装网址：【下载Windows驱动程序工具包...】进入页面

a里啊里啊·2023-12-05 18:34

FTDI FT232驱动下载安装高速转换器UIC系列驱动安装详细教程

FTDIWINDOWS驱动或者直接到FTDI官方下载支持

rui22·2023-12-05 09:45

7.4 Windows驱动开发：内核运用LoadImage屏蔽驱动

在笔者上一篇文章《内核监视LoadImage映像回调》中LyShark简单介绍了如何通过PsSetLoadImageNotifyRoutine函数注册回调来监视驱动模块的加载，注意我这里用的是监视而不是监控之所以是监视而不是监控那是因为PsSetLoadImageNotifyRoutine无法实现参数控制，而如果我们想要控制特定驱动的加载则需要自己做一些事情来实现，如下LyShark将解密如何实现

微软技术分享·2023-12-04 07:16

Windows ObjectType Hook 之 SecurityProcedure

有关ObjectType的分析见文章《Windows驱动开发学习记录-ObjectTypeHook之ObjectType结构相关分析》。

禁锢在时空之中的灵魂·2023-12-04 06:32

Windows驱动中使用数字签名验证控制设备访问权限

1.背景在一般的驱动开发时，创建了符号链接后在应用层就可以访问打开我们的设备并进行通讯。但我们有时候不希望非自己的进程访问我们的设备并进行交互，虽然可以使用IoCreateDeviceSecure来创建有安全描述符的设备，但大数的用户账户为了方便都是管理员，因此该方法不太完整。2.一般方法一般情况下进行限制的方法是允许打开设备，但在打开设备后做一些校验，如果不通过，之后的其它请求都拒绝

禁锢在时空之中的灵魂·2023-12-04 06:32

Windows驱动中校验数字签名(使用 ci.dll)

1.背景对于常规应用程序来说，校验数字签名认证在应用层可以使用WinVerifyTrust,在驱动层使用常规的API无法使用，自己分析数据又太麻烦。在内核中ci.dll包装了数据签名验证相关的功能，我们可以使用该dll来实现我们的数字签名验证。详细的分析见《内核中的代码完整性：深入分析ci.dll》。下面直接上相关代码。2.相关代码原代码地址为https://github.com/

禁锢在时空之中的灵魂·2023-12-04 06:31

windows驱动内核编程

image.png搭建驱动开发环境sdk10wdk10win7平台降低警告级别8086CPU16位汇编1982年intel退出80286处理器，第一次提出保护模式在保护模式下，段寄存器存储的段基址，而是段选择子X86体系CPU支持三种模式实模式：兼容16位CPU的模式保护模式：操作系统所在模式虚拟8086模式：可以模拟多个8086执行多任务8086处理器的段寄存器是16位，共四个：CS,DS,ES

MagicalGuy·2023-12-03 02:43

6.6 Windows驱动开发：内核枚举Minifilter微过滤驱动

Minifilter是一种文件过滤驱动，该驱动简称为微过滤驱动，相对于传统的sfilter文件过滤驱动来说，微过滤驱动编写时更简单，其不需要考虑底层RIP如何派发且无需要考虑兼容性问题，微过滤驱动使用过滤管理器FilterManager提供接口，由于提供了管理结构以及一系列管理API函数，所以枚举过滤驱动将变得十分容易。通常文件驱动过滤是ARK重要功能之一，如下是一款闭源ARK工具的输出效果图。由

微软技术分享·2023-12-02 11:01

《Windows驱动开发技术详解》之读写操作

缓冲区方式读写操作设置缓冲区读写方式：读写操作一般是由ReadFile和WriteFile函数引起的，这里先以WriteFile函数为例进行介绍。WriteFile要求用户提供一段缓冲区，并且说明缓冲区的大小，然后WriteFile将这段内存的数据传入到驱动程序中。这种方法，操作系统将应用程序提供缓冲区数据直接复制到内核模式的地址中。这样做，比较简单的解决了将用户地址传入驱动的问题，而缺点是需要在

imxiangzi·2023-12-01 00:51

Windows驱动开发之文件操作

转载请注明来源:enjoy5512的博客:http://blog.csdn.net/enjoy5512GitHub:https://github.com/whu-enjoy1．在驱动中使用文件在Windows执行体中，通过文件对象来代表文件，该文件对象是一种由对象管理器管理的执行体对象。例如：目录也是由文件对象代表的。内核组件通过对象名来引用文件，即在文件的全路径前面加\DosDevices。（在

enjoy5512·2023-12-01 00:21

windows驱动开发-基于WDM的PCIe DMA驱动

作者QQ群：852283276微信：arm80x86微信公众号：青儿创客基地B站：主页https://space.bilibili.com/208826118访问MEMIO资源MappingBus-RelativeAddressestoVirtualAddresses连接中断ServicingInterruptsRegisteringanISRUsingMessage-SignaledInterr

三遍猪·2023-12-01 00:20

6.3 Windows驱动开发：内核枚举IoTimer定时器

内核I/O定时器（KernelI/OTimer）是Windows内核中的一个对象，它允许内核或驱动程序设置一个定时器，以便在指定的时间间隔内调用一个回调函数。通常，内核I/O定时器用于周期性地执行某个任务，例如检查驱动程序的状态、收集性能数据等。今天继续分享内核枚举系列知识，这次我们来学习如何通过代码的方式枚举内核IoTimer定时器，内核定时器其实就是在内核中实现的时钟，该定时器的枚举非常简单，

微软技术分享·2023-12-01 00:03

第一个Windows驱动程序

#includeVOIDDriverUnlode(PDRIVER_OBJECTpDriverObject){//指明这个参数是我故意不用的，不是我忘了，告知编译器不要警告我UNREFERENCED_PARAMETER(pDriverObject);//DriverUnlode驱动的卸载函数，负责清理资源，在驱动卸载的时候调用//驱动里的资源是真实的系统里的资源，搞不明白分分钟给你蓝屏DbgPrin

温柔倾怀·2023-11-30 23:16

6.1 Windows驱动开发：内核枚举SSDT表基址

SSDT表（SystemServiceDescriptorTable）是Windows操作系统内核中的关键组成部分，负责存储系统服务调用的相关信息。具体而言，SSDT表包含了系统调用的函数地址以及其他与系统服务相关的信息。每个系统调用对应SSDT表中的一个表项，其中存储了相应系统服务的函数地址。SSDT表在64位和32位系统上可能有不同的结构，但通常以数组形式存在。对于系统调用的监控、分析或修改等

微软技术分享·2023-11-30 21:49

6.2 Windows驱动开发：内核枚举SSSDT表基址

在Windows内核中，SSSDT（SystemServiceShadowDescriptorTable）是SSDT（SystemServiceDescriptorTable）的一种变种，其主要用途是提供Windows系统对系统服务调用的阴影拷贝。SSSDT表存储了系统调用的函数地址，类似于SSDT表，但在某些情况下，Windows系统会使用SSSDT表来对系统服务进行引导和调用。SSSDT表的存

微软技术分享·2023-11-30 12:10

9.4 Windows驱动开发：内核PE结构VA与FOA转换

微软技术分享·2023-11-29 02:14

3.2 Windows驱动开发：内核CR3切换读写内存

CR3是一种控制寄存器，它是CPU中的一个专用寄存器，用于存储当前进程的页目录表的物理地址。在x86体系结构中，虚拟地址的翻译过程需要借助页表来完成。页表是由页目录表和页表组成的，页目录表存储了页表的物理地址，而页表存储了实际的物理页框地址。因此，页目录表的物理地址是虚拟地址翻译的关键之一。在操作系统中，每个进程都有自己的地址空间，地址空间中包含了进程的代码、数据和堆栈等信息。为了实现进程间的隔离

微软技术分享·2023-11-26 06:01

5.4 Windows驱动开发：内核通过PEB取进程参数

PEB结构(ProcessEnvirormentBlockStructure)其中文名是进程环境块信息，进程环境块内部包含了进程运行的详细参数信息，每一个进程在运行后都会存在一个特有的PEB结构，通过附加进程并遍历这段结构即可得到非常多的有用信息。在应用层下，如果想要得到PEB的基地址只需要取fs:[0x30]即可，TEB线程环境块则是fs:[0x18]，如果在内核层想要得到应用层进程的PEB信息

微软技术分享·2023-11-25 23:13

8.3 Windows驱动开发：内核遍历文件或目录

在笔者前一篇文章《内核文件读写系列函数》简单的介绍了内核中如何对文件进行基本的读写操作，本章我们将实现内核下遍历文件或目录这一功能，该功能的实现需要依赖于ZwQueryDirectoryFile这个内核API函数来实现，该函数可返回给定文件句柄指定的目录中文件的各种信息，此类信息会保存在PFILE_BOTH_DIR_INFORMATION结构下，通过遍历该目录即可获取到文件的详细参数，如下将具体分

微软技术分享·2023-11-25 17:42

5.1 Windows驱动开发：判断驱动加载状态

在驱动开发中我们有时需要得到驱动自身是否被加载成功的状态，这个功能看似没啥用实际上在某些特殊场景中还是需要的，如下代码实现了判断当前驱动是否加载成功，如果加载成功,则输出该驱动的详细路径信息。该功能实现的核心函数是NtQuerySystemInformation这是一个微软未公开的函数，也没有文档化，不过我们仍然可以通过动态指针的方式调用到它，该函数可以查询到很多系统信息状态，首先需要定义一个指针

微软技术分享·2023-11-25 17:42

7.5 Windows驱动开发：监控Register注册表回调

在笔者前一篇文章《内核枚举Registry注册表回调》中实现了对注册表的枚举，本章将实现对注册表的监控，不同于32位系统在64位系统中，微软为我们提供了两个针对注册表的专用内核监控函数，通过这两个函数可以在不劫持内核API的前提下实现对注册表增加，删除，创建等事件的有效监控，注册表监视通常会通过CmRegisterCallback创建监控事件并传入自己的回调函数，与该创建对应的是CmUnRegis

微软技术分享·2023-11-24 20:03

5.2 Windows驱动开发：内核取KERNEL模块基址

模块是程序加载时被动态装载的，模块在装载后其存在于内存中同样存在一个内存基址，当我们需要操作这个模块时，通常第一步就是要得到该模块的内存基址，模块分为用户模块和内核模块，这里的用户模块指的是应用层进程运行后加载的模块，内核模块指的是内核中特定模块地址，本篇文章将实现一个获取驱动ntoskrnl.exe的基地址以及长度，此功能是驱动开发中尤其是安全软件开发中必不可少的一个功能。关于该程序的解释，官方

微软技术分享·2023-11-24 08:29

4.5 Windows驱动开发：实现进程数据转储

多数ARK反内核工具中都存在驱动级别的内存转存功能，该功能可以将应用层中运行进程的内存镜像转存到特定目录下，内存转存功能在应对加壳程序的分析尤为重要，当进程在内存中解码后，我们可以很容易的将内存镜像导出，从而更好的对样本进行分析，当然某些加密壳可能无效但绝大多数情况下是可以被转存的。在上一篇文章《内核R3与R0内存映射拷贝》介绍了一种方式SafeCopyMemory_R3_to_R0可以将应用层进

微软技术分享·2023-11-22 23:25

4.2 Windows驱动开发：内核中进程线程与模块

内核进程线程和模块是操作系统内核中非常重要的概念。它们是操作系统的核心部分，用于管理系统资源和处理系统请求。在驱动安全开发中，理解内核进程线程和模块的概念对于编写安全的内核驱动程序至关重要。内核进程是在操作系统内核中运行的程序。每个进程都有一个唯一的进程标识符（PID），它用于在系统中唯一地标识该进程。在内核中，进程被表示为一个进程控制块（PCB），它包含有关进程的信息，如进程状态、优先级、内存使

微软技术分享·2023-11-21 09:02

8.1 Windows驱动开发：内核文件读写系列函数

在应用层下的文件操作只需要调用微软应用层下的API函数及C库标准函数即可，而如果在内核中读写文件则应用层的API显然是无法被使用的，内核层需要使用内核专有API，某些应用层下的API只需要增加Zw开头即可在内核中使用，例如本章要讲解的文件与目录操作相关函数，多数ARK反内核工具都具有对文件的管理功能，实现对文件或目录的基本操作功能也是非常有必要的。首先无论在内核态还是在用户态，我们调用的文件操作函

微软技术分享·2023-11-21 09:02

Windows ObjectType Hook 之 OkayToCloseProcedure

有关ObjectType的分析见文章《Windows驱动开发学习记录-ObjectTypeHook之ObjectType结构相关分析》。

禁锢在时空之中的灵魂·2023-11-21 02:32

C++开发方向之windows驱动开发

最近浏览招聘网站看到关于windows驱动开发的岗位，前几天一个C++客户端工作岗位，猎头也问我是否有了解windows内核。所以，调研了一下C++的开发方向：windows驱动开发。

haimianjie2012·2023-11-19 12:05

3.6 Windows驱动开发：内核进程汇编与反汇编

在笔者上一篇文章《内核MDL读写进程内存》简单介绍了如何通过MDL映射的方式实现进程读写操作，本章将通过如上案例实现远程进程反汇编功能，此类功能也是ARK工具中最常见的功能之一，通常此类功能的实现分为两部分，内核部分只负责读写字节集，应用层部分则配合反汇编引擎对字节集进行解码，此处我们将运用capstone引擎实现这个功能。首先是实现驱动部分，驱动程序的实现是一成不变的，仅仅只是做一个读写功能即可

微软技术分享·2023-11-19 12:58

Windows驱动开发入门系列教程

前几天，一个朋友问到我怎么学习Windows驱动开发，我就想到把我学习Windows驱动开发的过程分享一下，也算我的一点总结。

程序心声·2023-11-19 01:00

寒江独钓-Windows内核安全编程(完整版).pdf

其实，Windows驱动程序

yedehei_lt·2023-11-17 12:43

3.3 Windows驱动开发：内核MDL读写进程内存

MDL内存读写是一种通过创建MDL结构体来实现跨进程内存读写的方式。在Windows操作系统中，每个进程都有自己独立的虚拟地址空间，不同进程之间的内存空间是隔离的。因此，要在一个进程中读取或写入另一个进程的内存数据，需要先将目标进程的物理内存映射到当前进程的虚拟地址空间中，然后才能进行内存读写操作。MDL结构体是Windows内核中专门用于描述物理内存的数据结构，它包含了一系列的数据元素，包括物理

微软技术分享·2023-11-17 12:59

2.6 Windows驱动开发：使用IO与DPC定时器

本章将继续探索驱动开发中的基础部分，定时器在内核中同样很常用，在内核中定时器可以使用两种，即IO定时器，以及DPC定时器，一般来说IO定时器是DDK中提供的一种，该定时器可以为间隔为N秒做定时，但如果要实现毫秒级别间隔，微秒级别间隔，就需要用到DPC定时器，如果是秒级定时其两者基本上无任何差异，本章将简单介绍IO/DPC这两种定时器的使用技巧。首先来看IO定时器是如何使用的，IO定时器在使用上需要